RuggedCom-Backdoor
Industrie-Netzwerkgeräte mit verstecktem «factory»-Konto — das Passwort liess sich aus der MAC-Adresse berechnen.
Robuste RuggedCom-Switches und -Router arbeiten in Umspannwerken, Verkehrsleitsystemen und beim Militär — Betriebssystem: ROS.
In 30 Sekunden
Im April 2012 legte der Forscher Justin W. Clarke offen, dass das Betriebssystem ROS («Rugged Operating System») der Industrie-Netzwerkgeräte von RuggedCom ein nicht dokumentiertes Konto namens «factory» enthielt. Dessen Passwort liess sich aus der MAC-Adresse (Hardware-Kennung) des Geräts ableiten. Die robusten Switches und Router stecken in Umspannwerken, Verkehrssystemen und militärischen Anlagen; RuggedCom war kurz zuvor von Siemens übernommen worden. Clarke ging an die Öffentlichkeit, nachdem der Hersteller monatelang nicht reagiert hatte — es folgten ein ICS-CERT-Advisory und Firmware-Updates, die das Konto entfernten.
Was geschah
2012
Betroffen waren die gehärteten Netzwerkgeräte (Switches und Router) von RuggedCom mit dem Betriebssystem ROS — verbaut in Umspannwerken, Verkehrsleitsystemen und militärischen Einrichtungen, also dort, wo Netzwerktechnik Hitze, Kälte und Störungen aushalten muss.
Der Angriffsweg
- RuggedCom liefert seine Geräte mit einem fest eingebauten, undokumentierten Wartungskonto «factory» aus — Kunden können es weder sehen noch abschalten.
- Das Passwort dieses Kontos wird aus der MAC-Adresse des Geräts berechnet — einer Kennung, die nicht geheim ist.
- Der Forscher Justin W. Clarke entdeckt das Konto und meldet es dem Hersteller (2011).
- Monatelang folgt keine Lösung; Clarke wendet sich an die US-Behörden.
- Im April 2012 wird die Backdoor öffentlich; ICS-CERT publiziert ein Advisory.
- RuggedCom/Siemens liefern Firmware-Updates, die das «factory»-Konto entfernen.
Auswirkung
Ein Missbrauch in realen Anlagen wurde nicht bekannt. Die Wirkung war trotzdem gross: Betreiber kritischer Infrastruktur mussten davon ausgehen, dass jedes ungepatcht erreichbare Gerät mit wenig Aufwand übernehmbar war — auch die US-Netzaufsicht NERC warnte die Stromversorger. Der Fall wurde zum Lehrstück über versteckte Wartungszugänge und über den Wert koordinierter Offenlegung.
So schützt du dich
Fakten
- April 2012 (Offenlegung)
- RuggedCom-Geräte mit Betriebssystem ROS
- RuggedCom (kurz zuvor von Siemens übernommen)
- undokumentiertes «factory»-Konto
- aus der MAC-Adresse des Geräts ableitbar
- Justin W. Clarke
- Umspannwerke, Verkehr, Militär
- ICS-CERT-Advisory, Firmware-Updates ohne das Konto
Im Detail
Robust gegen Wetter, offen für Angreifer
RuggedCom-Geräte sind für raue Umgebungen gebaut: Sie vertragen extreme Temperaturen und elektromagnetische Störungen und vernetzen deshalb Umspannwerke, Bahnanlagen und militärische Einrichtungen. Genau diese Geräte trugen eine eingebaute Schwäche in sich — nicht in der Hardware, sondern in der Software: ein Wartungskonto, von dem die Kunden nichts wussten.
Ein Passwort, das keines ist
Das Passwort des «factory»-Kontos wurde aus der MAC-Adresse des Geräts berechnet. Eine MAC-Adresse ist eine Hardware-Kennung, die im Netzwerkverkehr sichtbar ist — sie ist schlicht keine geheime Information. Damit war das «Passwort» für jeden ableitbar, der das Gerät erreichen konnte. Ein Zugangsschutz, der auf öffentlich sichtbaren Daten beruht, ist keiner.
Monate des Schweigens
Clarke meldete den Fund zunächst dem Hersteller — und wartete. Als über Monate keine Lösung kam, schaltete er die US-Behörden ein und legte die Schwachstelle im April 2012 schliesslich offen. Diese Eskalationskette ist heute als Coordinated Disclosure (koordinierte Offenlegung) etabliert: Erst der Hersteller, dann Behörden, am Ende die Öffentlichkeit — damit Druck entsteht, bevor Angreifer die Lücke still ausnutzen.
Die Reaktion: Advisory und Updates
Nach der Offenlegung publizierte ICS-CERT ein Advisory, die US-Netzaufsicht NERC alarmierte die Stromversorger, und RuggedCom — inzwischen Teil von Siemens — lieferte Firmware-Versionen aus, die das «factory»-Konto entfernten. Der Fall zeigt: Öffentlicher Druck wirkt, aber er wäre nicht nötig gewesen, hätte der Hersteller auf die erste Meldung reagiert.
Die Lehre: Wartungszugang = Hintertür
Jeder undokumentierte Zugang ist eine Backdoor — unabhängig davon, ob er aus Bequemlichkeit, für den Support oder aus Nachlässigkeit eingebaut wurde. Betreiber können solche Konten nicht absichern, weil sie sie nicht kennen. Deshalb gehören zwei Dinge zusammen: Hersteller müssen alle Zugänge dokumentieren und abschaltbar machen, und Betreiber müssen die Management-Ebene ihrer Geräte so abschotten, dass selbst eine unbekannte Hintertür schwer erreichbar ist.
