Warnung vor Schwachstellen in Komponenten von General Electric

8. Juli, 2021
Warnung vor Schwachstellen in Komponenten von General Electric

Die US-amerikanische CISA warnte im März vor mehreren kritischen Schwachstellen in den Energie-Management-Geräten des Herstellers General Electric. Über die Schwachstellen könnten verschiedene Angriffsszenarien zum Diebstahl sensible Informationen ausgeführt werden.

Sicherheitsforscher von SCADA-X, CyTRICS, Verve Industrial und VuMetric hatten kritische Schwachstelle gefunden und den amerikanischen Elektro-Riesen General Electric darüber informiert. Das Unternehmen forderte daraufhin alle Nutzer auf, die Firmware der betroffenen Geräte zu aktualisieren. Die Energie-Management-Relais von General Electric werden weltweit genutzt. Sie finden Einsatz in den Bereichen Kommunikation, Fertigungsindustrie, Energiewirtschaft, dem Gesundheitswesen und der öffentlichen Gesundheit, Transport-, Wasser- und Abwassersystemen.

Die ersten Schwachstellen waren im Juli 2020 entdeckt worden und die Patches dazu wurde am 24. Dezember veröffentlicht. Nun, da die Schwachstellen veröffentlicht wurden, ist sei es umso wichtiger, so die CISA, die Software der Geräte zu aktualisieren.

Firmware Updates immer wieder Grund für Schwachstellen

Die SANS IT-Sicherheitsexperten John Pescatore und Alan Paller beaugen die Problematik Firmware Updates schon seit einiger Zeit. In einem Kommentar zu dem General-Electric-Vorfall verglichen die beiden die Liste der Schwachstellen in der Firmware von General Electric mit den Top 10 der Schwachstellenliste aus dem Jahr 2005. Wobei, so Pescatore und Paller, dies genauso gelten würde für die vielen Schwachstellen in der Betriebstechnik und in Geräten des Internets der Dinge anderer Hersteller. Viele der aufgedeckten Schwachstellen bauen auf das gleiche Problem auf: Die Bequemlichkeit einer einfachen Installation sei wichtiger als die Sicherheit der Geräte. Haupthindernis sei dabei, dass das Patchen der Geräte kein einfaches Unterfangen für die Nutzer ist.

Die beiden Sicherheitsexperten fordern schon seit Langem, dass eine grundlegende Sicherheitshygiene eine hohe Priorität haben sollte. Und sie fragen, was eigentlich dagegen sprechen würde, daraus ein Geschäftsmodell zu machen. Der Markt für computergestützte Wartungsmanagementsysteme hat ein geschätztes Volumen von 1 Milliarde US-Dollar im Jahr. Pescatore und Paller raten Unternehmen, die derartige Produkte verwenden, dass sie versuchen, Firmware-Updates in ihre routinemäßige IT-Wartungsplanung aufzunehmen.

Die Schwachstellen in Komponenten von General Electric

Die sogenannten Universal Relays von General Electric sind kleine Computer, mit denen die von verschiedenen Geräten verbrauchte elektrische Leistung gesteuert wird. Damit können die angeschlossenen Geräte die Stromversorgungsmodi wechseln und ein vereinfachtes Energiemanagement zum Schutz kritischer Anlagen betrieben werden. General Electric gab bekannt, dass es sich um 19 betroffene Produkte der Baureihe handelte. Das Unternehmen hatte im März Patches für alle Geräte veröffentlicht.

Es ist nicht das erste Mal, dass es General Electric mit Sicherheitsproblemen in ihren Geräten zu hatte. Im Dezember letzten Jahres wurden zwei kritische Schwachstellen in Dutzenden von den in Krankenhäusern verwendeten radiologischen Geräten von General Electric Healthcare entdeckt.

Die CISA hatte in ihrer Warnung darauf hingewiesen, dass ungepatchte Schwachstellen Angreifern den Zugriff auf vertrauliche Informationen ermöglichen könnten. Außerdem könnten die Geräte neu gestartet, privilegierten Zugriff erlangt oder sogar ein DoS-Zustand verursacht werden.

Neun kritische Schwachstellen

Von den 19 Schwachstellen waren neun besonders kritisch. CVE-2021-27426 war die kritischste von allen mit einem CVSS-Wert von 9,8. Hierbei ging es um eine unsichere Initialisierung von Standardvariablen. Das ermöglicht es einem Angreifer, Sicherheitseinschränkungen ohne große Probleme zu umgehen.

CVE-2021-27430 war eine weitere sehr kritische Schwachstelle. Dabei geht es darum, dass die Bootloader-Binärdatei des betroffenen Geräts der Versionen 7.00, 7.01 und 7.02 hartcodierte Anmeldeinformationen enthält. Angreifer könnten die Schwachstelle ausnutzen, um die Boot-Sequenz zu unterbrechen und das Geräte neu zu starten. Die Schwachstelle erhielt auf der Skala ein Wert von 8,4.

CVE-2021-27422 lag in der Webserver-Schnittstelle der Geräte. Damit ist der unbefugte Zugriff auf sensible Daten ohne Authentifizierung möglich.

Eine weitere Schwachstelle versteckte sich im Setup des webbasierten Konfigurationstools. Durch CVE-2021-27428 in allen betroffenen Baureihen ist es einem Angreifer möglich, ferngesteuert Dateien hochzuladen.

Maßnahmen zur Minderung der Gefahren

Nutzer der betroffenen Geräte müssten die Firmware-Versionen dringend aktualisieren auf Version 8.10 oder höher. General Electric stellte seinen Kunden weitere Abhilfemaßnahmen und Informationen zu diesen Schwachstellen zur Verfügung. Die CISA verweist jedoch zusätzlich noch auf die Aufrechterhaltung einer generellen IT-Sicherheitshygiene. Dazu würde eine angemessene Auswirkungsanalyse und Risikobewertung gehören.

 

Artikel von threatpost.com, 22.03.2021: CISA Warns of Security Flaws in GE Power Management Devices
Artikel von us-cert.cisa.gov, 16.03.2021: ICS Advisory (ICSA-21-075-02)

Beitragsbild: Public Domain, Creative Commons CC0 von Pete Linforth von pixabay.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen