""""
Skip to main content

Coordinated Disclosure wird zur Erfolgsgeschichte

 

  • Die Schwachstellen wurden in der Version 8.0 gefunden.
  • Alle Schwachstellen wurden in der versiondog Version 8.1 (im Oktober 2020 veröffentlicht) sowie in allen neueren Versionen, behoben.
  • Es sind keine öffentlichen Exploits bekannt, die auf diese Sicherheitslücken abzielen. (Quelle: Cyber and Infrastructure Security Agency)
  • Die höchstmögliche Sicherheit bietet versiondog nur, wenn Sie die aktuellste Version einsetzen.
  • AUVESY empfiehlt ein versiondog Upgrade auf die neueste Version (aktuell versiondog 9.0).


Verfasser: Stefan Jesse (COO) AUVESY GmbH, Franziska Klostermann (Head of Marketing) AUVESY GmbH, Claroty


Die gezielte Suche nach Schwachstellen in einer Software kann eine echte Herausforderung sein

Oft sehen sich Unternehmen gegenüber den sogenannten White-Hats und Sicherheitsexperten, die mit guten Absichten in ihren Netzwerken und ihrer Software nach Fehlern suchen, in der Defensive. Insbesondere, wenn in den betreffenden Unternehmen keine Prozesse etabliert sind, wie gemeldete Fehler priorisiert und bearbeitet werden.

Die Experten wiederum sind frustriert darüber, dass von Seiten der Unternehmen nichts unternommen wird, um die von ihnen gemeldeten Fehler zu korrigieren und Schwachstellen zu reduzieren, und drohen damit, Details publik zu machen. Dies führt wiederum dazu, dass die betroffenen Unternehmen rechtliche Schritte unternehmen oder versuchen, den entsprechenden Experten zu diskreditieren.

Während beide Seiten diese Kämpfe austragen und Schwachstellen nicht zeitnah entdeckt und beseitigt werden, sind Kunden und Anwender oft hilflos „richtigen Hackern“ ausgeliefert.

Zum Glück ist die Forschung nach Sicherheitslücken mittlerweile eine gängige Praxis, Programme zum Management der Schwachstellen und entsprechender Patches sind in der Softwareentwicklung Standard und die geschilderten Szenarios treten nur noch selten auf. Die Partnerschaft zwischen dem Team82 von Claroty und AUVESY ist eine solche Erfolgsstory.

Dem Expertenteam Team82 von Claroty gelang es, letztes Jahr, im Flaggschiff versiondog, einer Software für Versionskontrolle und automatisierte Datensicherung, eine Reihe von kritischen Fehlern (15 verschiedene CVEs) aufzudecken. Ein erfahrener Hacker könnte diese entdeckten Schwachstellen nutzen, um beispielsweise im System einen Code auszuführen und damit remote Dateien zu lesen oder zu schreiben, Datenbankabfragen auszuführen und vieles mehr. Alle Schwachstellen wurden von AUVESY in der versiondog Version 8.1 und allen neueren Versionen gepatcht; ICS-CERT hat außerdem einen Hinweis mit Informationen zu den Schwachstellen und deren Behebung veröffentlicht.

Die Software versiondog wird in einigen der größten Industrieunternehmen der Welt eingesetzt, um automatisch Softwareversionen zu sichern, zu dokumentieren, Backups der Daten zu machen und sie mit der letzten fehlerfreien Version zu vergleichen, um sicherzustellen, dass Anlagen jederzeit effizient laufen. Jede Störung oder Manipulation dieser Daten kann verheerende Konsequenzen auf die Sicherheit und Integrität des industriellen Prozesses haben.

Mehr als zwei Jahrzehnte der professionellen Softwareentwicklung haben aufgezeigt, dass Schwachstellen und Sicherheitslücken nicht zu vermeiden sind. Eine zeitnahe koordinierte Reaktion eines betroffenen Unternehmens zeigt ein hohes Maß an Verantwortung den Kunden und der ICS gegenüber und gewährleistet, dass seine Produkte sicher und verlässlich verwendet werden können. Das Maß an Sorgfalt und Engagement, das AUVESY bei der Zusammenarbeit mit Claroty an den Tag legt, ging über eine einmalige Korrektur einer Handvoll Schwachstellen hinaus.
 

Ursachenforschung ebnet den Weg zu einem sichereren Ökosystem

Das AUVESY Management und Entwickler-Team sind das Problem an der Ursache angegangen. Anstatt eine einmalige Fehlerkorrektur durchzuführen, scannten sie ihren kompletten Code und untersuchten die Bausteine ihres Produkts, um Schwachstellen-Muster zu finden.

AUVESY hat außerdem die in ihrem Produkt gefundenen Schwachstellen zum Anlass genommen, seine Produkt- und Entwicklungslebenszyklen zu prüfen und zu überarbeiten, um zukünftige Schwachstellen auf ein Minimum zu reduzieren und die allgemeine Sicherheitslage des Produkts zu verbessern. 

AUVESY, Weltmarktführer für Datenmanagementsysteme für die automatisierte Produktion, verfügt über ein Team von internen Sicherheitsexperten, die kontinuierlich daran arbeiten die Produkte gründlich zu testen und zu verbessern. Die Vorteile für AUVESY Kunden liegen neben der effektiven Sicherung ihrer Daten, in der Verfügbarkeit ihrer Anlagen und der Reduzierung Stillstands auf ein Minimum. AUVESY setzt zusätzlich auf externe Berater, um die Produktsicherheit auf höchstem Niveau zu halten. Neben einer engen strategischen Partnerschaft mit Claroty, einem anerkannten Sicherheitsexperten, verlässt sich AUVESY auch auf das Feedback von Partnern und Kunden.
 

Claroty Team82´s Recherche

AUVESY hat für alle Schwachstellen, die vom Team82 vertraulich aufgedeckt wurden, Patches oder Korrekturen geliefert. Die Schwachstellen wurden bei der versiondog OS Server API, dem Scheduler und dem Web-Installer in der Version 8.0 gefunden. Alle Schwachstellen wurden in der versiondog Version 8.1 (im Oktober 2020 veröffentlicht) sowie in allen neueren Versionen, behoben.

Die vom Team82 entdeckten Sicherheitslücken betrafen die folgenden versiondog Komponenten:

  • versiondog OS Server API
    Der OS Server von versiondog ist ein Windows-Dienst, der die Anfragen der versiondog API über ein proprietäres Protokoll ausführt. Die Sicherheitsexperten von Team82 fanden kritische Schwachstellen an allen Stellen, die mit der Verarbeitung von Meldungen zusammenhängen, inklusive einer Lücke in den Sicherheitsprüfungen, unangemessenen Umgang mit Parametern und nicht authentifizierte remote Interaktionen mit einer low-level Windows API.
     
  • versiondog Scheduler
    Dieser Dienst ermöglicht es dem Benutzer, Jobs zu starten und zu beenden.
    Team82 hat eine Reihe von Aspekten gefunden, darunter Schwachstellen in der Verarbeitung von SQL-Code, die einem Angreifer erlauben würden, durch gezielte Eingaben schädliche SQL-Abfragen einzuschleusen.

  • versiondog Web-Installer
    Der Installer ist eine Golang Webserver Anwendung, die es ermöglicht, einen AUVESY Image Agent zu erzeugen.
    Team82 hat hier eine Schwachstelle beim Ressourcenverbrauch entdeckt. Es wird eine hohe Anzahl von Installationen generiert, die in einem temporären Ordner gespeichert werden. Damit wird der komplette freie Speicher der Festplatte verbraucht. Dadurch können keine Check-In bzw. Check-Out Vorgänge ausgeführt werden.

CVE-Informationen finden Sie hier: https://us-cert.cisa.gov/ics/advisories/icsa-21-292-01 


Empfehlungen

Die Zusammenarbeit zwischen Team82 und AUVESY ist ein Beispiel dafür, wie eine koordinierte Offenlegung von Schwachstellen zwischen Sicherheitsexperten und dem betroffenen Unternehmen zu positiven Veränderungen führen kann. AUVESY hat nicht nur die Behebung der kritischen Schwachstellen in seinem Produkt versiondog in Angriff genommen, sondern auch damit begonnen, die Sicherheitskultur intern im Allgemeinen zu prüfen.

Statt lediglich die wichtigen Patches an die Kunden auszuliefern, hat AUVESY die Gelegenheit ergriffen, das Produkt und die Entwicklungspraxis gründlich unter die Lupe zu nehmen, die Ursachen für diese und andere Sicherheitsprobleme zu beleuchten und intern eine sicherheitsorientierte Denkweise aufzubauen.

Daraus ist eine Erfolgsstory geworden, die wir teilen wollen. Laut den Ergebnissen des Biannual ICS Risk & Vulnerability Report for the 1H 2021 wird den Schwachstellen in industriellen Steuerungssystemen, SCADA Equipment und Technologienetzwerken in Betrieben zunehmend mehr Aufmerksamkeit geschenkt. Allein in der ersten Hälfte von 2021 wurden 637 Schwachstellen entdeckt und korrigiert, viele von ihnen in Produkten der führenden Hersteller in der ICS Domain. Außerdem zeigen 42 neue Experten erstmalig Schwachstellen auf.

Und diese Anzahl wird noch wachsen. Unternehmen müssen ihre Programme im Rahmen eines Fehlermanagement prüfen, Prozesse implementieren, um die gemeldeten Fehler zu erfassen, zu priorisieren und mit ihnen umzugehen und sich als verantwortungsbewusste Mitglieder der ICS Domain beweisen, für die Sicherheit an oberste Stelle steht.