Italienischer Forscher findet neue Lücken in Scada-Software

Der italienische Sicherheitsforscher Luigi Auriemma hat mindestens ein Dutzend Fehler in Scada-Software gefunden. Sacad steht für Supervisory Control and Data Aquisition. Solche Programme wird in Kraftwerken und anderen kritischen Infrastrukturen eingesetzt. Die US-Regierung gab daraufhin eine Sicherheitswarnung heraus.

Die Informationen sowie Beispielcode für einen Angriff veröffentlichte Auriemma in der vergangenen Woche auf seiner Website. Erstmals wies er im März auf 30 Sicherheitslücken in Scada-Systemen hin. Seitdem beschrieb er in seinem Blog jeden Monat weitere Anfälligkeiten.

Die Lücken stecken nach Angaben des ICS-CERT in mehreren Scada-Produkten. Sie werden von Kraft- und Wasserwerken, Kläranlagen, Industriebetrieben und auch im Finanzsektor verwendet. Auriemma zufolge könnten die Löcher für das Einschleusen und Ausführen von Schadcode sowie Denial-of-Service-Angriffe missbraucht werden.

Die gravierendste Anfälligkeit betreffe Speicherprogrammierbare Steuerungen, die physische Geräte kontrollieren, teilte Justin Searle, Managing Partner bei UtiliSec mit, einem Beratungsunternehmen für Kraftwerksbetreiber. „Er findet zahlreiche Anwendungen, die sich bisher wenig um Sicherheit gekümmert haben.“ Viele Anbieter glaubten immer noch, dass ihre Produkte geschützt seien, weil sie in Bereichen verwendet würden, zu denen Angreifer keinen Zutritt hätten.

Laut Dale Peterson zeigen die von Auriemma gefundenen Fehler, dass bei der Entwicklung von Scada- und DCS-Software (Distributed Control System) Regeln für eine sichere Programmierung sowie Qualitätskontrollen nicht befolgt wurden. Viele ICS-Anbieter hätten sich in den vergangenen Jahren zwar um dieses Problem gekümmert, aber es seien noch viele ältere Produkte im Einsatz. Eine große Zahl von Herstellern sei außerdem noch uneinsichtig.

Anfälligkeiten von Scada-Software waren durch den Stuxnet-Wurm erstmals ins öffentliche Bewusstsein getreten. Der Schädling richtete sich gegen bestimmte Software von Siemens. Stuxnet wurde anscheinend geschrieben, um Anlagen des iranischen Atomprogramms anzugreifen. Nach Ansicht von Experten war es abzusehen, dass vergleichbare Löcher auch in Prozesssteuerungssoftware beispielsweise für Raffinerien auftauchen.

In einem Interview mit ZDNet sagte Auriemma, die jetzt von ihm veröffentlichten Schwachstellen habe er mit Leichtigkeit und in sehr kurzer Zeit gefunden. In den nächsten Wochen werde er weitere Lücken bekannt machen. Einige davon befänden sich im Besitz von Tipping Point. Die HP-Tochter kauft Zero-Day-Lücken von Sicherheitsforschern.