Ruim 120 Siemens PLC S7 hebben cybersecurity-probleem

CRed Balloon Security onderzoekers hebben diverse kwetsbaarheden ontdekt in de crypto-authenticatiechips in de PLC S7-1500-serie industriële controllers van Siemens en in aanverwante producten.

Programmeerbare logische controllers (PLC’s) zijn kritische embedded apparaten die in moderne industriële omgevingen worden gebruikt. De Siemens S7-1500 is een toonaangevende, krachtige controller die onder de PLC-producten van Siemens wordt beschouwd als leverancier van uitgebreide beveiligingsmaatregelen.

De afgelopen 10 jaar heeft Red Balloon Security uitgebreid onderzoek gedaan naar de beveiliging van embedded systemen, waaronder PLC’s, beveiligingsrelais, gebouwenautomatiseringscontrollers, netwerkapparatuur, telecommunicatie-infrastructuur en infrastructuur voor satellietgrondstations. Eerder onderzoek van Red Balloon dat zich specifiek richtte op Root of Trust (RoT) implementaties resulteerde in de ontdekking van een kwetsbaarheid die in 2019 bekend werd gemaakt onder de naam “Thrangrycat”, waarmee het eigen veilige opstartmechanisme van Cisco persistent kan worden omzeild. Thrangrycat wordt veroorzaakt door een reeks hardware ontwerpfouten binnen Cisco’s Trust Anchor module (TAm) waardoor een aanvaller via FPGA bitstream wijziging persistent de TAm kan aanpassen, waardoor het secure boot proces wordt omzeild en Cisco’s chain of trust aan de basis ongeldig wordt gemaakt.

Het laatste onderzoek van Red Balloon bestaat uit de ontdekking van meerdere, kritieke architecturale kwetsbaarheden in de Siemens PLC S7-1500-serie die het mogelijk maken alle beveiligde opstartfuncties te omzeilen. Deze ontdekking heeft mogelijk belangrijke gevolgen voor industriële omgevingen, aangezien deze onvervangbare hardware root-of-trust kwetsbaarheden kunnen leiden tot aanhoudende willekeurige wijziging van S7-1500 besturingscode en gegevens. Uitbuiting van deze kwetsbaarheden kan offline-aanvallers in staat stellen willekeurige gecodeerde firmware te genereren die opstartbaar is op alle Siemens S7-1500-serie PLC CPU-modules. Bovendien kunnen aanvallers met deze kwetsbaarheden de integriteitsvalidatie en beveiligingsfuncties van het ADONIS-besturingssysteem en de daaropvolgende code uit de gebruikersruimte blijvend omzeilen. Red Balloon heeft deze kwetsbaarheden aan Siemens gemeld en Siemens heeft ze bevestigd.

De kwetsbaarheden bestaan omdat de Siemens aangepaste System-on-Chip (SoC) geen tamper proof Root of Trust (RoT) vaststelt in het vroege opstartproces. De Siemens RoT is geïmplementeerd door de integratie van een specifiek cryptografisch beveiligd element – de ATECC CryptoAuthentication-chip. Deze architectuur bevat echter gebreken die kunnen worden gebruikt om het systeem te compromitteren. Als een RoT op de PLC S7 niet tot stand komt, kunnen aanvallers aangepaste bootloaders en firmware laden.

De fundamentele kwetsbaarheden – onjuiste hardware-implementaties van de RoT met een speciale cryptografische processor – zijn niet te verhelpen en kunnen niet worden verholpen door een firmware-update, aangezien de hardware fysiek niet te wijzigen is. Om de gevolgen van potentieel misbruik van deze kwetsbaarheden te beperken, heeft Red Balloon Siemens verschillende maatregelen aanbevolen, waaronder: implementeren van runtime integriteitsattestatie; toevoegen van asymmetrische handtekeningcontrole voor firmware bij opstartschema; en versleutelen van de firmware met apparaatspecifieke sleutels die op individuele apparaten worden gegenereerd.

Red Balloon heeft een geavanceerde tool voor het opsporen van persistente bedreigingen ontwikkeld voor eigenaren en exploitanten van een Siemens PLC S7, waarmee kan worden gecontroleerd of er met kwetsbare apparaten is geknoeid of dat deze zijn gecompromitteerd.

Meer informatie bij Red Balloon