// Security

RuggedCom-Backdoor

Industrie-Netzwerkgeräte mit verstecktem «factory»-Konto — das Passwort liess sich aus der MAC-Adresse berechnen.

RuggedCom (2012): das Betriebssystem der Industrie-Netzwerkgeräte enthielt ein undokumentiertes «factory»-Konto, dessen Passwort sich aus der MAC-Adresse ableiten liessMAC-Adressenicht geheimfactory-KontoundokumentiertIndustrie-SwitchROS, UmspannwerkAufbauRobuste RuggedCom-Switches und -Router arbeiten in Umspannwerken,Verkehrsleitsystemen und beim Militär — Betriebssystem: ROS.
Tempo:

Schritt 1 von 6

Robuste RuggedCom-Switches und -Router arbeiten in Umspannwerken, Verkehrsleitsystemen und beim Militär — Betriebssystem: ROS.

In 30 Sekunden

Im April 2012 legte der Forscher Justin W. Clarke offen, dass das Betriebssystem ROS («Rugged Operating System») der Industrie-Netzwerkgeräte von RuggedCom ein nicht dokumentiertes Konto namens «factory» enthielt. Dessen Passwort liess sich aus der MAC-Adresse (Hardware-Kennung) des Geräts ableiten. Die robusten Switches und Router stecken in Umspannwerken, Verkehrssystemen und militärischen Anlagen; RuggedCom war kurz zuvor von Siemens übernommen worden. Clarke ging an die Öffentlichkeit, nachdem der Hersteller monatelang nicht reagiert hatte — es folgten ein ICS-CERT-Advisory und Firmware-Updates, die das Konto entfernten.

Was geschah

Jahr

2012

Ziel

Betroffen waren die gehärteten Netzwerkgeräte (Switches und Router) von RuggedCom mit dem Betriebssystem ROS — verbaut in Umspannwerken, Verkehrsleitsystemen und militärischen Einrichtungen, also dort, wo Netzwerktechnik Hitze, Kälte und Störungen aushalten muss.

Der Angriffsweg

  1. RuggedCom liefert seine Geräte mit einem fest eingebauten, undokumentierten Wartungskonto «factory» aus — Kunden können es weder sehen noch abschalten.
  2. Das Passwort dieses Kontos wird aus der MAC-Adresse des Geräts berechnet — einer Kennung, die nicht geheim ist.
  3. Der Forscher Justin W. Clarke entdeckt das Konto und meldet es dem Hersteller (2011).
  4. Monatelang folgt keine Lösung; Clarke wendet sich an die US-Behörden.
  5. Im April 2012 wird die Backdoor öffentlich; ICS-CERT publiziert ein Advisory.
  6. RuggedCom/Siemens liefern Firmware-Updates, die das «factory»-Konto entfernen.

Auswirkung

Ein Missbrauch in realen Anlagen wurde nicht bekannt. Die Wirkung war trotzdem gross: Betreiber kritischer Infrastruktur mussten davon ausgehen, dass jedes ungepatcht erreichbare Gerät mit wenig Aufwand übernehmbar war — auch die US-Netzaufsicht NERC warnte die Stromversorger. Der Fall wurde zum Lehrstück über versteckte Wartungszugänge und über den Wert koordinierter Offenlegung.

So schützt du dich

Spiele Firmware-Updates auf Netzwerk- und Steuerungsgeräten konsequent und zeitnah ein.
Begrenze die Erreichbarkeit: Management-Zugänge nur aus einem eigenen, abgeschotteten Admin-Netz zulassen.
Frage Hersteller aktiv nach undokumentierten Konten und lasse dir Backdoor-Freiheit vertraglich zusichern.
Überwache Anmeldungen auf Infrastrukturgeräten und alarmiere bei unbekannten Konten.
Richte als Hersteller einen klaren Meldeweg für Sicherheitsforscher ein und reagiere auf Meldungen (Coordinated Disclosure).

Fakten

Jahr
April 2012 (Offenlegung)
Betroffen
RuggedCom-Geräte mit Betriebssystem ROS
Hersteller
RuggedCom (kurz zuvor von Siemens übernommen)
Schwachstelle
undokumentiertes «factory»-Konto
Passwort
aus der MAC-Adresse des Geräts ableitbar
Entdecker
Justin W. Clarke
Einsatzorte
Umspannwerke, Verkehr, Militär
Folge
ICS-CERT-Advisory, Firmware-Updates ohne das Konto

Im Detail

Robust gegen Wetter, offen für Angreifer

RuggedCom-Geräte sind für raue Umgebungen gebaut: Sie vertragen extreme Temperaturen und elektromagnetische Störungen und vernetzen deshalb Umspannwerke, Bahnanlagen und militärische Einrichtungen. Genau diese Geräte trugen eine eingebaute Schwäche in sich — nicht in der Hardware, sondern in der Software: ein Wartungskonto, von dem die Kunden nichts wussten.

Ein Passwort, das keines ist

Das Passwort des «factory»-Kontos wurde aus der MAC-Adresse des Geräts berechnet. Eine MAC-Adresse ist eine Hardware-Kennung, die im Netzwerkverkehr sichtbar ist — sie ist schlicht keine geheime Information. Damit war das «Passwort» für jeden ableitbar, der das Gerät erreichen konnte. Ein Zugangsschutz, der auf öffentlich sichtbaren Daten beruht, ist keiner.

Monate des Schweigens

Clarke meldete den Fund zunächst dem Hersteller — und wartete. Als über Monate keine Lösung kam, schaltete er die US-Behörden ein und legte die Schwachstelle im April 2012 schliesslich offen. Diese Eskalationskette ist heute als Coordinated Disclosure (koordinierte Offenlegung) etabliert: Erst der Hersteller, dann Behörden, am Ende die Öffentlichkeit — damit Druck entsteht, bevor Angreifer die Lücke still ausnutzen.

Die Reaktion: Advisory und Updates

Nach der Offenlegung publizierte ICS-CERT ein Advisory, die US-Netzaufsicht NERC alarmierte die Stromversorger, und RuggedCom — inzwischen Teil von Siemens — lieferte Firmware-Versionen aus, die das «factory»-Konto entfernten. Der Fall zeigt: Öffentlicher Druck wirkt, aber er wäre nicht nötig gewesen, hätte der Hersteller auf die erste Meldung reagiert.

Die Lehre: Wartungszugang = Hintertür

Jeder undokumentierte Zugang ist eine Backdoor — unabhängig davon, ob er aus Bequemlichkeit, für den Support oder aus Nachlässigkeit eingebaut wurde. Betreiber können solche Konten nicht absichern, weil sie sie nicht kennen. Deshalb gehören zwei Dinge zusammen: Hersteller müssen alle Zugänge dokumentieren und abschaltbar machen, und Betreiber müssen die Management-Ebene ihrer Geräte so abschotten, dass selbst eine unbekannte Hintertür schwer erreichbar ist.