Pressemitteilungen Rhebo

News

Netzfundstück: Januar 2020

Etablierte Sicherheitssysteme, wie Intrusion Detection Systems können viele Angriffsstrategien nicht erkennen - insbesondere wenn diese neuartig sind oder scheinbar autorisierte Pfade nutzen. Der Netzwerkbetreiber bleibt damit auf einem Auge blind. In der Operational Technology (OT) eines Getränkeabfüllers konnten wir während eines Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudits einen Hackerangriff in mehreren Stufen beobachten. 

Netzwerk wird gescannt

Während des laufenden Betriebs machte sich im Meldungsfenster des Rhebo Industrial Protector ein Host bemerkbar, der aktiv das Netzwerk scannte. Der Host fragte sowohl ab, welche Ports verwendet werden, als auch welche Dienste auf welchem System laufen. Beides sind relevante Schritte im Rahmen der Reconnaissance für einen geplanten Angriff.

ARP-Spoofing

Anschließend wurde eine Technik namens ARP-Spoofing detektiert. Das Protokoll ARP dient zur Zuordnung logischer Adressen (IP) auf Hardware-Adressen (Ethernet). Es ist zustandslos, so dass jeder beliebige Teilnehmer angeben kann, er hätte eine bestimmte IP-Adresse. Der Angreifer schickte sekündlich ARP-Pakete, um dem Netzwerk periodisch kundzutun, dass Daten, die eigentlich für einen bestimmten Log-Server bestimmt sind, an seine Hardware-Adresse gesendet werden sollen. Damit konnte er den Datenverkehr zwischen den manipulierten Geräten abhören.

IP-Adresse des Log-Servers geändert

Daraufhin meldete Industrial Protector, dass die IP-Adresse des Log-Servers einer neuen Hardware-Adresse zugeordnet ist. Zu diesem Zeitpunkt hatten wir die Vorgänge bereits im Detail verfolgt und analysiert.

Aus den zu jeder Meldung für forensische Zwecke aufgezeichneten Rohdaten im PCAP-Format ging hervor, dass tatsächlich die Logdaten nun an die Adresse des Angreifers gesendet wurden. Unter anderem erhielt dieser dadurch wohl Kenntnis über einen Benutzernamen, der für die Administration einer Firewall verwendet wurde.

Bruteforce-Attacke und SQL-Injection

Mit dem erspähten Benutzernamen versuchte der Eindringling sich nun mit der Bruteforce-Methode an der Weboberfläche der Firewall anzumelden. In der forensischen Analyse wurde deutlich, dass eine ganze Reihe von Default-Passwörtern probiert wurden, jeweils mit einem gewissen zeitlichen Abstand und wohl automatisiert, allerdings ohne Erfolg.

Mit einem weiteren Angriffsversuch wurde anschließend mit dem Einschleusen von Datenbankbefehlen, einer sogenannten SQL-Injection, versucht, Zugriff auf die Firewall zu erhalten. Diese Methode blieb allerdings erfolglos.

Sicherheitslücke in Firewall ausgenutzt
Schließlich wurde eine Sicherheitslücke in der Firewall-Weboberfläche ausgenutzt, die es dem Angreifer ermöglichte, beliebigen Code auf dem System auszuführen. Es wurde eine so genannte Reverse Shell geöffnet, die von der Firewall aus eine Verbindung zum System des Angreifers öffnet, über die dieser dann Systembefehle absetzen kann. Dies erfolgte in dem vorliegenden Fall über den beliebten TCP-Port 1337. Die Kommunikation über diesen Port wurde von Industrial Protector als unbekannt und somit als Anomalie innerhalb des Netzwerkverhaltens identifiziert und gemeldet.

whoami: root


Auch die vom Angreifer in der Reverse Shell eingegebenen Befehle wurden mitgeschnitten. Dieser versicherte sich kurz, ob er auch Administratorrechte habe, also ob Befehle im Kontext des Benutzers "root" ausgeführt werden können. Danach wurde kurzerhand eine Firewall-Regel hinzugefügt, die jeglichen Verkehr erlaubt und damit alle anderen Regeln umgeht. Die Firewall war ab diesem Zeitpunkt wirkungslos.

System Shutdown und Neueinrichtung

Im vorliegenden Fall konnte aufgrund der Echtzeitmeldung der Vorgänge der Angreifer gestoppt werden, bevor Schäden entstanden. Das Gerät, über das der Angreifer Zugriff auf das Netzwerk erhalten hatte, wurde vom Netz genommen und die Firewall neu konfiguriert. Wie sich herausstellte, lief der betroffene Rechner auf einer alten Windowsversion und hatte unmittelbaren Zugriff auf das Internet.

Ohne Rhebo Industrial Protector wäre der Angriff nicht aufgefallen. Selbst mit einem Intrusion Detection System wäre die Rekonfiguration der Firewall nicht aufgefallen. Mit einer manipulierten Firewall hätte der Angreifer auf sensible Systeme und Daten zugreifen können, ohne dass Notiz davon genommen wird. 

Rhebo Industrial Protector sorgt für umfassende Transparenz aller Vorgänge und Geräte im Netzwerk. Ein erster Schritt zur umfassenden Cybersicherheit ist ein Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudit

Ist Ihr Netzwerk noch ungeschützt? Jetzt Gesprächstermin vereinbaren