Sonstiges Kritische Schwachstelle in S7 1200 1500 ET200

[sunny22]

Zuviel Werbung?
-> Hier kostenlos registrieren

Heute gab es bei uns eine BSI-Warnung vor einer Schwachstelle in den aktuellen S7 Steuerungen.
Es ist möglich den globalen privaten Schlüssel aus eine S7 Steuerung auszulesen und damit vertrauliche Daten aus anderen Steuerungen und TIA Projekten zu gewinnen.
Ist vielleicht für den ein oder anderen interessant.
LINK

 

[ducati]

so wie ich das sehe, sind S7-151xSP nicht betroffen, und generell FW >=2.9.2 auch nicht.

SSA-568427

Affected Product and Versions	Remediation
SIMATIC Drive Controller family All versions < V2.9.2	Update to V2.9.2 or later version, migrate project in TIA Portal to this version and redeploy. Within the project, configure the CPU to "Only allow secure PG/PC and HMI communication" https://support.industry.siemens.com/cs/ww/en/view/109773914/ See further recommendations from section Workarounds and Mitigations
SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) All versions < V21.9	Update to V21.9 or later version, migrate project in TIA Portal to this version and redeploy. Within the project, configure the CPU to "Only allow secure PG/PC and HMI communication" https://support.industry.siemens.com/cs/ww/en/view/109759122/ See further recommendations from section Workarounds and Mitigations
SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants) All versions	Currently no fix is planned See further recommendations from section Workarounds and Mitigations
SIMATIC S7-1200 CPU family (incl. SIPLUS variants) All versions < V4.5.0	Update to V4.5.0 or later version, migrate project in TIA Portal to this version and redeploy. Within the project, configure the CPU to "Only allow secure PG/PC and HMI communication" https://support.industry.siemens.com/cs/ww/en/view/109793280/ See further recommendations from section Workarounds and Mitigations
SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants) All versions < V2.9.2	Update to V2.9.2 or later version, migrate project in TIA Portal to this version and redeploy. Within the project, configure the CPU to "Only allow secure PG/PC and HMI communication" https://support.industry.siemens.com/cs/ww/en/view/109478459/ See further recommendations from section Workarounds and Mitigations
SIMATIC S7-1500 Software Controller All versions < V21.9	Update to V21.9 or later version, migrate project in TIA Portal to this version and redeploy. Within the project, configure the CPU to "Only allow secure PG/PC and HMI communication" https://support.industry.siemens.com/cs/ww/en/view/109478528/ See further recommendations from section Workarounds and Mitigations

 

[Thomas_v2.1]

Zuviel Werbung?
-> Hier kostenlos registrieren

Das war Siemens sicher schon länger bekannt, denn meiner Meinung nach kommen alle diejenigen die einen Treiber für einen symbolischen Zugriff für die 1200/1500er Steuerung haben, damit an diese Daten. Und die gibt es ja schon ein paar Jahre länger. So wie es sich für mich liest, konnten eben mit diesem Standardzugriff auch alle von einem selber hinterlegten Schlüssel ausgelesen werden. Es gibt da so eine Funktion um von Root-Node rekursiv alle Child Nodes abzufragen, da kommt dann einiges zurück. Ob das da drin steckt weiß ich nicht, ich kann mangels der Schlüssel nur mit meiner alten 1200er V2 Firmware sprechen, die lässt sich noch ohne diese auslesen.

Aber die Links zu der claroty.com Seite die das analysiert haben, und auch zu einem anderen Team sind ganz interessant. Da haben welche die Platine geröngt, oder bei der 1200er V4 CPU mal die Deckschicht von der Haupt-CPU runtergekratzt, und dann gefunden, dass dort ein ARM Cortex R4 drin steckt.

 

[ducati]

Das war Siemens sicher schon länger bekannt, denn meiner Meinung nach kommen alle diejenigen die einen Treiber für einen symbolischen Zugriff für die 1200/1500er Steuerung haben, damit an diese Daten..

Ja, da würd mich jetzt interessieren, ob Nicht-Siemens-Treiber überhaupt funktionieren, wenn nur "sichere PG/PC/HMI" erlaubt ist und PUT/GET gesperrt ist und Passworte gesetzt sind. Bzw. gibt es überhaupt einen Nicht-Siemens-Treiber für optimierte DBs der dieses neue Zertifikatsgedödel beherrscht?
Am Ende freut sich Siemens doch drüber, dass allen Fremdvisuanbietern das Leben erschwert wird.
Da bleibt doch nur übrig, sich nen eigenes OUC-Protokoll zu bauen, oder auf OPC-UA etc. auszuweichen...

Aber wie schon tausendmal vorgebetet, NICHT alle Geräte mit ner Rj45 Buchse MÜSSEN ins Büronetz. Und wenns unbedingt sein muss, dann nur über VPN Router etc...

Solang da überall noch 300er ohne jeglichen Schutz hängen oder 1500er mit aktivem PUT/GET, ist die hier beschriebene Sicherheitslücke eh nur in Sonderfällen relevant. Nämlich dort, wo sich jemand mit TIA V16 oder kleiner auf den Passwortschutz verlassen hat.

Wobei sich als nächstes für mich die Frage stellt, ob und wie kann man jetzt wirklich auf ne Passwortgeschützte CPU drauf, falls ich demnächst mal wieder an ne Anlage muss, wo das vergebene Passwort niemand mehr kennt, und das Projekt auch weg ist. Von daher hat das ganze vielleicht sogar was gutes. Wenn da mal nen Tool rauskommt, werden dadurch mehr Anlagen gerettet als sabotiert.
Wäre nur blöd, wenn die sabotierten sowas wie Klärwerke etc. sind.

 

[Onkel Dagobert]

so wie ich das sehe, sind S7-151xSP nicht betroffen, und generell FW >=2.9.2 auch nicht....

Ihr solltet die trotzdem nicht mehr einsetzen!

 

[ducati]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ihr solltet die trotzdem nicht mehr einsetzen!

Wie meinst Du das? Eigentlich alle CPUn die ich so kenne haben aktiviertes PUT/GET und kein Passwort etc. da kommt sowieso "jeder" drauf. Aber die hängen halt nicht im "Büronetz"

 

[Onkel Dagobert]

Wie meinst Du das?

Naja, es würde den Lieferengpässen entgegen wirken !

 

[sunny22]

Wäre nur blöd, wenn die sabotierten sowas wie Klärwerke etc. sind.

Ja, dann ist die Kacke am dampfen.

 

[hardy]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,
ich möchte diese Thema bitte noch einmal aufgreifen, da unsere IT aktuell wg. dieser Thematik uns richtig
"Probleme" macht.

Wir greifen im TIA-Portal per Netzwerk von unseren Arbeitsplatz aus auf verschiedene Steuerung bei uns im Betrieb zu.
Eine lokale Installation von TIA Portal in welcher Version auch immer ist verboten. Zulässig war bis vor kurzem die Installation und Nutzung
von TIA-Portal in einer virtuellen Maschine ( VMware) welche uns von der IT zur Verfügung gestellt wurde.

Funktionierte soweit auch ganz gut.
Aber auch diese Möglichkeit über VMware soll nun verboten werden.

Zulässig ist dann nur doch die Installation und Nutzung auf einen Laptop ohne Verbindung zur Außenwelt und ohne Verbindung
ins Firmennetzwerk. D.h Fehlersuche etc. nur noch an der Maschine vor Ort.

Das ist doch vorsintflutlich .....

Nun meine Frage, wie ist der Umgang in Euren Betrieben mit dieser Thematik und welche Lösungsansätze werden dort verfolgt.

Bin für jede Anregung dankbar.

Gruß
Hardy

 

[de vliegende hollander]

Zum Beisipel; Eine eigene Engineering Station einrichten.
Diese Rechner hängt bei euch dann nur im AS Netz.

Wenn ihr vor Ort seit aus dem AS Netz auf der Engineering zugreifen.

 

[oliver.tonn]

Hallo zusammen,
ich möchte diese Thema bitte noch einmal aufgreifen, da unsere IT aktuell wg. dieser Thematik uns richtig
"Probleme" macht.

Wir greifen im TIA-Portal per Netzwerk von unseren Arbeitsplatz aus auf verschiedene Steuerung bei uns im Betrieb zu.
Eine lokale Installation von TIA Portal in welcher Version auch immer ist verboten. Zulässig war bis vor kurzem die Installation und Nutzung
von TIA-Portal in einer virtuellen Maschine ( VMware) welche uns von der IT zur Verfügung gestellt wurde.

Funktionierte soweit auch ganz gut.
Aber auch diese Möglichkeit über VMware soll nun verboten werden.

Zulässig ist dann nur doch die Installation und Nutzung auf einen Laptop ohne Verbindung zur Außenwelt und ohne Verbindung
ins Firmennetzwerk. D.h Fehlersuche etc. nur noch an der Maschine vor Ort.

Das ist doch vorsintflutlich .....

Nun meine Frage, wie ist der Umgang in Euren Betrieben mit dieser Thematik und welche Lösungsansätze werden dort verfolgt.

Bin für jede Anregung dankbar.

Gruß
Hardy

Mich würde in dem Zusammenhang mal interessieren, wo Eure IT da das Problem sieht. Man kann den privaten Schlüssel einer Steuerung auslesen und dadurch Daten aus anderen Steuerungen auslesen. OK, das ist nicht schön, stellt doch aber keine Gefahr für eine Bedrohung von außen dar, die Steuerungen bei Euch werden ja nicht direkt von Internet erreichbar sein.
Ich denke das Problem ist, dass der IT das Hintergrundwissen zu Steuerungen fehlt und die zwar für die "normale" IT beurteilen können was gefährlich werden könnte und was nicht, aber nicht bei Steuerungen.

 

[de vliegende hollander]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich denke das Problem ist, dass der IT das Hintergrundwissen zu Steuerungen fehlt und die zwar für die "normale" IT beurteilen können was gefährlich werden könnte und was nicht, aber nicht bei Steuerungen.

IT ler haben an Automatisierungsrechner nichts verloren sag ich immer.

 

[roboticBeet]

Die IT bekommt halt bei dem Vorhandensein von IP-Adressen und entsprechenden Verbindungen mit gleichzeitig fehlendem Endpoint Security auf den SIMATIC Geräten schnell Schnappatmung. Auch vor dem Hintergrund von Assume Breach Konzepten. Das muss man wieder einfangen und danach eine anständige Lösung erarbeiten. Denn OT-Security sollte schon ein Thema sein. In den Siemens CVEs findet man auch regelmäßig SIMATIC Produkte (auch mit einem hohen Base Score). Die Firmware wird gleichzeitig nie/selten aktualisiert. Ich habe kürzlich erst ein CVE mit einem sehr hohen Base Score betreffend SIMATIC CPs gelesen.
Cyberangriffe auf Industriebetriebe sind mittlerweile so gezielt, da können potentiell auch SPSen o. ä. als Angriffsvektor genutzt werden. Cyberangriffe gehen in der Regel ja nicht direkt von einem einzelnen System aus, sondern es handelt sich eher um eine Kaskade, durch welche sich Angreifer hangeln, um letztendlich großen Schaden hervorzurufen.

Dabei ist aber natürlich die Verbindung PG <> SPS nur ein Teilaspekt. Die Verbindungen für MES, SCADA u. ä. sind natürlich genauso relevant, ebenso weitere IPC Systeme im Maschinennetz (Panels, Robotersteuerungen, ...).

Da jetzt eine Handlungsempfehlung speziell für euch abzuleiten ist schwierig. Da muss man schon mehr über den Ist-Zustand wissen. Grundsätzlich ist aktuell der Zero Trust Ansatz mit ergänzendem Monitoring vom Netzwerktraffic und ggf. automatischer Abschaltung von Netzwerkverbindungen nicht verkehrt, macht aber in Einführung und Betrieb sehr große Aufwände für Dokumentation und um erstmal ein System zum Laufen zu bekommen.

 

[DCDCDC]

Die IT bekommt halt bei dem Vorhandensein von IP-Adressen und entsprechenden Verbindungen mit gleichzeitig fehlendem Endpoint Security auf den SIMATIC Geräten schnell Schnappatmung. Auch vor dem Hintergrund von Assume Breach Konzepten. Das muss man wieder einfangen und danach eine anständige Lösung erarbeiten. Denn OT-Security sollte schon ein Thema sein. In den Siemens CVEs findet man auch regelmäßig SIMATIC Produkte (auch mit einem hohen Base Score). Die Firmware wird gleichzeitig nie/selten aktualisiert. Ich habe kürzlich erst ein CVE mit einem sehr hohen Base Score betreffend SIMATIC CPs gelesen.
Cyberangriffe auf Industriebetriebe sind mittlerweile so gezielt, da können potentiell auch SPSen o. ä. als Angriffsvektor genutzt werden. Cyberangriffe gehen in der Regel ja nicht direkt von einem einzelnen System aus, sondern es handelt sich eher um eine Kaskade, durch welche sich Angreifer hangeln, um letztendlich großen Schaden hervorzurufen.

Dabei ist aber natürlich die Verbindung PG <> SPS nur ein Teilaspekt. Die Verbindungen für MES, SCADA u. ä. sind natürlich genauso relevant, ebenso weitere IPC Systeme im Maschinennetz (Panels, Robotersteuerungen, ...).

Da jetzt eine Handlungsempfehlung speziell für euch abzuleiten ist schwierig. Da muss man schon mehr über den Ist-Zustand wissen. Grundsätzlich ist aktuell der Zero Trust Ansatz mit ergänzendem Monitoring vom Netzwerktraffic und ggf. automatischer Abschaltung von Netzwerkverbindungen nicht verkehrt, macht aber in Einführung und Betrieb sehr große Aufwände für Dokumentation und um erstmal ein System zum Laufen zu bekommen.

Gehe ich mit

Zum Beisipel; Eine eigene Engineering Station einrichten.
Diese Rechner hängt bei euch dann nur im AS Netz.

Wenn ihr vor Ort seit aus dem AS Netz auf der Engineering zugreifen.

So ähnlich machen wir es

Nun meine Frage, wie ist der Umgang in Euren Betrieben mit dieser Thematik und welche Lösungsansätze werden dort verfolgt.

Bei uns hängt zB ein Server im Anlagennetz (nicht mit Maschinennetz verwechseln), welcher hinter einem Unifi Router hängt. Auf dem Server läuft Proxmox mit verschiedenen Containern und virtuellen Maschinen, auf einer läuft auch Tia Portal. Auf die Maschine komme ich über das Intranet mit einem Tunnel und kann von dort aus auf die Steuerungen zugreifen.

Auf unseren Sterungen ist auch die höchste Sicherheitsstufe ausgewählt, das Projekt ist Passwortgeschützt. Jeder Onlinezugriff und jeder Download ist mit einem unikaten Passwort versehen, auf allen Komponenten auf denen es möglich ist, ist die aktuellste Firmware vorhanden, Kommunikation findet nur über die sichere statt, welche mir die Steuerung zur Verfügung stellt. - Mehr als das kannst du auch als Automatisierer nicht machen. Das kannst du auch ruhig so mitteilen, dann weiß die andere Abteilung wie die Rahmenbedingungen aussehen.

Über die andere Abteilung zu schimpfen ist nicht produktiv, setzt euch zusammen.. damit sie verstehen wie ihr arbeitet, was dazu nötig ist und wie diese Bedürfnisse sichergestellt werden können.. eingeschränkt oder nicht. Genauso muss auch dann von eurer Seite aus ein Verständnis da sein, was OT Security und Cybersecurity generell für ein sensibles Thema ist, mit dem sich die Jungs da den ganzen Tag auch beschäftigen müssen.

Der Schutz von Internas und sensibler Hard- und Software, genauso wie Knowhow etc hat eben Vorang davor, dass ihr vom Büro aus auf die Steuerungen kommt.

OT Security, gerade Endpoint Absicherung ist kein einfaches Thema, auch nicht für die Jungs die solche Systeme Warten und im Auge behalten müssen.

Falls die Mitarbeiter in der It auf dem neuesten Stand bleiben möchten gibt es von Siemens einen separaten Newsletter was Schwachstellen angeht: https://www.siemens.com/global/en/products/services/cert.html#SubscribetoSecurityAdvisories

 

[Matthias321]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,
hier ist der IT-Kollege von @hardy .



Wir suchen nach einer gemeinsamen Lösung mit dem Fachbereich, die unsere Unternehmensdaten schützt, aber weiterhin bequem und frustfrei nutzbar ist.
Eine erfolgreiche Cyber Attacke kann gravierende Folgen für eine Firma haben. An einem wochenlangem Produktionsausfall kann auch eine größere und gesunde Firma zugrunde gehen.

Es geht nicht ausschließlich um den Schutz der Maschinensteuerung, sondern auch um die Absicherung des Mitarbeiter-PCs.

Als Übergangslösung dient dazu derzeit ein virtueller Client mit Windows IoT auf dem Arbeits-PC der Mitarbeiter.

Diverse Sicherheitslücken auf den Mitarbeiter-PCs sind angreifbar, vor Allem, wenn der PC/Laptop z.B. mobil und außerhalb des Standorts genutzt wird.
Darum geht es vorrangig um die Absicherung der Mitarbeiter-PCs.
Leider besitzen wir nicht nur aktuelle SPSen, sondern auch welche, die nur mit nicht mehr supporteten Versionen genutzt werden Könen. Diese enthalten Sicherheitslücken, die nicht mehr gepatscht werden.
Es sind ja nicht nur die SIMATIC Sicherheitslücken. Es werden auch Microsoft Bibliotheken benötigt, die ebenfalls nicht mehr supportet werden und Sicherheitslücken haben.

Die Netze für die Maschinen und deren Steuerungen sind bereits in verschiedene Subnetzte separiert und werden per Firewall geschützt. Weitere Sicherheitskonzepte zum Thema „Zero Trust“ befinden sich in Umsetzung.

Bequem für die Mitarbeiter ist es natürlich, von Ihrem „normalem“ Arbeits-PC aus alles weltweit tun zu können.
Anforderung ist z.B. gleichzeitig an verschiedenen Projekten gleichzeitig zu arbeiten, mal schnell auf eine Maschine hier und an einem anderen Standort zugegriffen, usw.

Idealerweise suche ich nach einer zentralen Lösung, wo alle Software zur Verfügung steht, und die Mitarbeiter können sich darauf schalten und von dort arbeiten. Am besten auch gleichzeitig und zusammen in Projekten.
Das wäre für uns besser zu schützen als 20 Mitarbeiter-PCs, die irgendwo unterwegs sind.

Was nutzt Ihr in Euren Firmen dafür?
Die Lösung mit Proxmox und den Containern und virtuellen Maschinen finde ich gut und haben wir auch bereits als Lösung ins Auge gefasst.
Gibt es nicht etwas fertiges von Siemens? Einen „Connect Server“, der mit allen verschiedenen SIMATIC Versionen ausgestattet ist und entsprechend geschützt ist? Wo mehrere Mitarbeiter gleichzeitig und sicher verbunden sind und arbeiten können?

 

[Botimperator]

Leider besitzen wir nicht nur aktuelle SPSen, sondern auch welche, die nur mit nicht mehr supporteten Versionen genutzt werden Könen. Diese enthalten Sicherheitslücken, die nicht mehr gepatscht werden.

Und dann kommen noch die ganzen intelligenten Sensoren und sonstige Devices dazu....
Aus der Praxis kenne ich es so, dass die Anlagensicherheit um die Anlage herum realisiert wird.
Kommt der Angreifer ins Anlagennetz hast du verloren, egal ob die SPS selbst sicher ist oder nicht.

Was nutzt Ihr in Euren Firmen dafür?

Für Fernwartung haben wir Ewon Router von Wachendorf im Einsatz, die normalerweise die einzige Schnittstelle nach "draußen" stellen.
Die sind bei uns auch nur Online, wenn tatsächlich eine Verbindung benötigt wird.
Wird meist per physischem Schlüsselschalter oder Wakeup-SMS realisiert.
Mache Kunden haben den Router auch in einer physisch getrennten Box, die nur bei Fernwartung an die Anlage angesteckt wird.

Und die ganz paranoiden haben einen eigenen Laptop mit TIA-Portal Installation, der bei Bedarf an die Anlage gestöpselt wird.
Zugriff dann per Teamviewer oder sonstiger RemoteDesktop-Lösung.
Hat zusätzlich den Vorteil, dass man immer weiß wo der letzte Softwarestand zu finden ist.

Für permanent benötigte Verbindungen gibts in den SCALANCE Produkten entsprechende Gateways.
Ansonsten ggf. SINEMA Remote Connect?
(Hab persönlich aber noch nicht damit gearbeitet)

 

[hardy]

Hi,

vielen Dank für Eure Rückmeldungen.

Mal schauen was wird. Werde hier mal ein Feedback geben sobald wir hier eine für uns finale Lösung gefunden haben und wie
diese denn aussieht .

Gruß