2200+ potenziell gefährdete Schwachstellen
Building Automation and Control network (BACnet) ist eines der beliebtesten SCADA-Protokolle, mit dem Gebäudeautomations- und -steuerungssysteme betrieben werden. Censys sucht nach fünf der beliebtesten SCADA-Protokolle (einschließlich Modbus, S7, BACnet, DNP3, Tridium Fox) und eine schnelle Suche zeigt, dass es 16.899 BACnet-Server gibt, die im Internet zugänglich sind.
Sicherheitsexperten wissen seit langem, dass diese Gebäudesteuerungssysteme aus Sicht der Sicherheit besonders riskant sind. Ähnlich wie andere IoT-Geräte sind viele dieser Server nicht sicher gebaut und werden bei der Einrichtung oft falsch konfiguriert.
Zu bedenken ist auch, dass diese Zahl von 16,9.000 nur die Gebäudeleitsysteme umfasst, die mit dem BACnet-Protokoll arbeiten, das eines der gängigsten für diese Systeme ist, aber kaum einen umfassenden Überblick über die Gebäudeleitsysteme insgesamt bietet.
Was ist BACnet überhaupt?
BACnet wurde 1995 von der American Society of Heating, Refrigerating and Air-Conditioning Engineers (Amerikanische Gesellschaft der Heizungs-, Kälte- und Klimaanlagenbauer) entwickelt, um Gebäudesysteme zu steuern - z. B. HLK-Anlagen, Beleuchtungssteuerungen, Brandmeldeanlagen usw. Das Protokoll wurde entwickelt, damit all diese Geräte synchron arbeiten und in einer "Sprache" gesteuert werden können, unabhängig vom Hersteller und zur gemeinsamen Nutzung von Daten. Die Anbieter können jedoch proprietäre Objekte spezifizieren, wodurch das Protokoll zwar skalierbar ist, aber auch verhindert wird, dass die Geräte verschiedener Hersteller gut zusammenspielen.
Die Forscherin Jaspreet Kaur hat einige wirklich solide Arbeiten im Bereich der BACnet-Sicherheit geleistet und behauptet, dass die Hersteller diese in der Praxis nicht umsetzen. Eine solidere Geschichte von BACnet findet sich in Steven T. Bushbys Arbeit, die sich mit der Geschichte des Protokolls befasst. Die Gründer von Censys haben auch eine Forschungsarbeit über ICS-Geräte (Industrial Control Service) verfasst, die einen Blick wert ist.
Sicherheitsimplementierung im Besitz von... Bauunternehmern?
SCADA-Geräte werden häufig von Bauunternehmern eingerichtet, in der Regel von einer anderen Gruppe als den IT-Abteilungen, die sich mit Sicherheit und allen Risiken aus Fehlkonfigurationen bei der Einrichtung auskennen. Daher sind diese Geräte oft falsch installiert und werden zu einem relativ leichten Ziel für Angreifer. Die Art und Weise, wie in der Branche Firmware-Updates gehandhabt werden, kann das Sicherheitsproblem noch verschärfen, denn sie erfordern oft einen manuellen Prozess und einen großen, komplizierten Aufwand für die IT- und Sicherheitsteams.
Im Falle von BACnet und anderen Gebäudesteuerungssystemen liegt die Verantwortung für die Wartung dieser Systeme und die rechtzeitige Installation von Sicherheitsupdates in der Regel bei den Bauunternehmern. Sie können sich also vorstellen, wie oft bekannte Schwachstellen in diesen Geräten nicht behoben werden, so dass sie leicht ausgenutzt werden können.
Auswirkungen von BACnet-Angriffen in der realen Welt
Einer der Gründe, warum die Gefährdung durch BACnet so besorgniserregend ist, liegt darin, dass diese Geräte kritische Systeme wie Brandmeldesysteme, Beleuchtungs- und HLK-Steuerungen in gewerblichen Gebäuden betreiben. Das bedeutet, dass ein Angriff auf diese Geräte ernsthafte physische Schäden verursachen könnte, und dass diese Geräte auch für Angriffe auf andere herkömmliche IT-Systeme genutzt werden könnten. Es gibt einige ziemlich beängstigende Geschichten darüber, wie in Gebäudeleitsysteme eingebrochen werdenkönnte, aber anstatt diese Ängste zu schüren, wollen wir uns auf die tatsächlichen Auswirkungen von Angriffen konzentrieren, die in freier Wildbahn stattgefunden haben, damit wir lernen können, wie wir zukünftige Angriffe verhindern können.
Das Ziel wird zu einem wirklich leichten Ziel (wuff, sorry) für alle Kompromittierungsgeschichten von Gebäudeleitsystemen. In ihrem Fall drangen die Angreifer über die HLK-Firma ein, aber es ist nicht weit hergeholt anzunehmen, dass sich die Angreifer auch über anfällige BACnet-Systeme (oder andere ähnliche SCADA-Systeme) Zugang verschafft haben könnten. Wir nehmen sie als Beispiel, weil es, offen gesagt, viele Geschichten über potenzielle Gefahren gibt, aber nicht viele öffentlich bekannte Sicherheitsverletzungen, die direkt durch unsicheres BACnet verursacht wurden.
Im Fall von Target war das HLK-Unternehmen so vernetzt, dass Angreifer Zugang zu den Finanzinformationen und Kundendaten des Unternehmens erhielten. Obwohl ein Einbruch in das System der Marke geschadet hätte, lag das Medieninteresse und der Fokus hauptsächlich auf den potenziellen finanziellen und datenschutzrechtlichen Bedenken der Verbraucher, die aus dem Einbruch resultierten.
Lassen Sie uns durchgehen, wie Sie diese BACnet-Systeme im Internet finden und dann auf Ihr Unternehmen herunterfiltern, damit Sie alles, was Sie dort finden, isolieren und dann zusätzliche Sicherheitstools verwenden können, um das Risiko, das sie für Sie oder Ihr Unternehmen darstellen, zu mindern.
Gefährdete, anfällige BACnet-Systeme heute online
Die häufigsten BACnet-basierten Produkte in unseren Scans sind die Systeme Niagara AX und Niagara 4. Wir haben uns die jüngste CVE-2017-16744 h im Zusammenhang mit diesen Produkten angesehen und festgestellt, dass mehr als 2000 dieser Systeme von dieser Schwachstelle betroffen sind, die Remotecodeausführung ermöglicht und auf der Schweregradskala mit 7,4 (von 10) bewertet wird.
Es ist wichtig zu wissen, dass unsere Daten nicht aussagen, ob diese Systeme gepatcht sind. Da das Aufspielen von Patches Zeit in Anspruch nimmt und manchmal andere Systeme im Netzwerk eines Unternehmens beeinträchtigen kann, wissen wir, dass viele Systeme entweder nie gepatcht und entsprechend aktualisiert werden oder, falls doch, es oft eine Weile dauert, bis diese Patches installiert werden. Vor diesem Hintergrund ist es wahrscheinlich, dass viele dieser Geräte noch nicht für diese CVE-Schwachstelle gerüstet sind.
Suche nach allen BACnet-Systemen in Censys
Hier ist eine schnelle Suche in Censys , um diese 17K Systeme mit BACnet-Protokoll zu finden, gefiltert nach Produktnamen. Sie werden bemerken, dass die Anzahl der Systeme im Bericht sinkt, was auf einige 2000 BACnet-Produkte zurückzuführen ist, die aus unbekannten Gründen nicht mit Hersteller und Produkt benannt sind. Auf jeden Fall ist es ein nützlicher Bericht, wenn wir die beliebtesten BACnet-Produkte untersuchen und ihren Sicherheitsstatus bewerten:
https://censys.io/ipv4?q=protocols%3A+%2247808%2Fbacnet%22
In der Dropdown-Liste neben "Build Report" können Sie auswählen, wie die Daten angezeigt werden sollen (z. B. nach Standort - mehr als 10.000 befinden sich in den USA). Das Filtern macht am meisten Spaß (was meinen Sie damit, dass wir Nerds sind?!), also empfehlen wir Ihnen dringend, mit unserer Report-Erstellungsfunktion herumzuspielen, während Sie die Verwendung des BACnet-Protokolls erkunden.
Für Unternehmen, die versuchen, unbekannte BACnet-Systeme zu finden (oder bekannte zu überwachen), sollten Sie "AND autonomous_system.asn:[IHRE AS NUMBER]" zum Suchtext hinzufügen. Zum Beispiel, um alle BACNet-Geräte in Universitätsnetzen zu finden (keine Sorge, wir haben REN-ISAC über diese alarmiert):
https://censys.io/ipv4?q=tags%3A+%22bacnet%22+AND+autonomous_system.name%3A+%22university+of%22
Risikominimierung bei BACnet-Geräten
In einer seltenen, positiven Geschichte in unserer Branche hat die Penn State zu Protokoll gegeben, wie sie mit BACnet-Systemen in ihrer Organisation umgeht. Sie erkannten, dass diese Dienste eine Notwendigkeit (wenn auch eine heikle) für ihre Universität waren, und wussten, dass eine einfache Entfernung dieser Systeme nicht ausreichen würde. Ihre Lösung bestand also darin, sich auf die Mikrosegmentierung anstelle von virtuellen lokalen Netzwerken (VLANs), Firewalls oder Zugriffskontrolllisten (ACLs) zu konzentrieren.
Bei weitläufigen und komplexen Universitätsnetzwerken hat sich diese Option für die Penn State University bewährt, und sie ist definitiv eine Option für Unternehmen, die auf BACnet-Systeme angewiesen sind, aber auch sicherstellen wollen, dass diese Server nicht zu Einfallstoren für böswillige Akteure im Unternehmen werden.
Legen Sie die Grundlagen fest:
- Stellen Sie sicher, dass BACnet-Systeme in einem von Ihren anderen Systemen isolierten Netz kommunizieren. Es gibt überhaupt keinen Grund, Ihre Gebäudeleitsysteme mit Ihrer Kundendatenbank oder Ihren Finanzsystemen zu verbinden. Dies öffnet nur die Tür zu massiven Risiken des Datenverlusts.
- Reduzieren Sie die Anzahl der Administratoren, die volle Administrationsrechte für diese Geräte haben. Wenn möglich, übertragen Sie die Kontrolle über Ihre BACnet-Geräte an Ihr internes Unternehmenssicherheitsteam und nicht an die Bauunternehmen, mit denen Sie zusammenarbeiten. Erzwingen Sie eine starke Authentifizierung, TLS- oder VPN-Verbindungen und stellen Sie sicher, dass der Zugang zu diesen Geräten so verwaltet wird, wie Sie es mit jedem anderen geschäftskritischen IT-System tun würden.
- Ermitteln Sie, welche Systeme über das BACnet-Protokoll miteinander kommunizieren, und stellen Sie sicher, dass diese Systeme mit aktualisierten Patches, Konfigurationen usw. gesichert sind.
