image

Onderzoekers vinden 'special access feature' in Siemens PLC

dinsdag 12 november 2019, 16:16 door Redactie, 24 reacties

Onderzoekers hebben in de bootloader van de Siemens S7-1200 PLC een ongedocumenteerde feature ontdekt waardoor een aanvaller met fysieke toegang code in de PLC kan uitvoeren. PLC's (programmable logic controllers) worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen.

Siemens is een vooraanstaande leverancier van PLC's en de S7 PLC-serie behoort tot één van de meest gebruikte PCL's in de industrie. De beruchte Stuxnet-malware richtte zich op Siemens PLC's die in de Iraanse uraniumverrijkingscentrale van Natanz werden gebruikt. De afgelopen jaren heeft Siemens verschillende beveiligingsmaatregelen aan de eigen PLC's toegevoegd.

Het gaat onder andere om het controleren van de integriteit van de firmware tijdens het opstarten. Dit gebeurt via een aparte bootloader die in een aparte SPI-flashchip aanwezig is. De firmware van deze chip is niet via de website van Siemens verkrijgbaar. Onderzoekers Ali Abbasi, Tobias Scharnowski en Thorsten Holz van Ruhr-University Bochum ontdekten in deze bootloader een ongedocumenteerde 'special access feature'.

Deze feature is te activeren door binnen de eerste halve seconde tijdens het opstarten via de UART-interface een speciaal commando te versturen. Via de feature kan er tijdens het opstarten naar het geheugen worden geschreven en is het mogelijk om code in de PLC uit te voeren. Zo lukte het de onderzoekers om via de firmware-updater eigen code naar de PLC-flashchip te schrijven zonder dat de checksumfeature van de bootloader dit ontdekte.

Een aanvaller kan door de feature de beveiligingsmaatregelen die Siemens heeft genomen omzeilen. Aan de andere kant kan de eigenaar van het systeem de feature als een forensische interface voor de PLC gebruiken, bijvoorbeeld om kwaadaardige code op de PLC te detecteren.

Het is voor de onderzoekers een raadsel waarom de feature aanwezig is. "Vanuit een beveiligingsstandpunt is het niet verstandig om te hebben, aangezien je het geheugen kunt lezen en schrijven en de inhoud van het geheugen kunt dumpen", zegt Abbasi tegenover DarkReading. De onderzoekers informeerden Siemens over de feature. De fabrikant werkt nu aan een update.

"Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is", stelt Abassi. Het is nog onbekend wanneer de oplossing van Siemens verschijnt. De onderzoekers wachten dan ook nog met het vrijgeven van hun tool om de firmware te dumpen en analyseren. Tijdens de Black Hat-conferentie volgende maand in Londen zullen de onderzoekers hun onderzoek presenteren.

Reacties (24)
12-11-2019, 17:00 door Anoniem
De update(s) zullen vast ook middels usb worden.
Geheel volgens voorgeschreven script.

En al die Nederlandse bedrijven die dit hebben draaien maar onderdeel zijn van de zogenaamde vitale infrastructuur worden vast door een speciaal team van toezicht door Grapperhaus bezocht.....
12-11-2019, 18:29 door [Account Verwijderd]
Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.
12-11-2019, 19:28 door Anoniem
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.
12-11-2019, 23:38 door Anoniem
Door Anoniem:
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.

We kunnen inderdaad de reactie van Siemens afwachten.
Die kunnen dat prima namelijk.
Alleen denk ik ook wel dat voor Siemens andere normen in de media gelden.
Maar Siemens is niet het bedrijf dat doorgaans anders en minder scherp wordt geframed
12-11-2019, 23:41 door Anoniem
De update kwetsbaarheden zijn qua patroon 1 op 1 volgens het script van diverse documentaires die er wel voor waarschuwden zonder uitgebreid bij de westerse leveranciers en hun rol en verantwoordelijkheid zelf stil te staan.
Sommige van de documentaires zijn ook via NPO uitgezonden.
13-11-2019, 00:00 door Anoniem
Door Anoniem:
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.

En dus probeer je iemand maar mondood te maken.... Adequate reactie?... m'n neus, dit is willens en wetens gewoon een backdoor.

Ben jij dan die nepnieuwsverspreider?
Als je nou volgende keer geen frame om je frame heenzet is er misschien iemand die geneigd is om je serieus te nemen
13-11-2019, 00:23 door burne101
Door Anoniem:
En al die Nederlandse bedrijven die dit hebben draaien

Geef maar toe: je hebt geen flauw idee wat een Siemens S7 is en waar die gebruikt wordt.

Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

Siemens S7 is vooral hardware. Blijkbaar met een password-recovery. Die zo op het eerste gezicht niet onder doet voor die op je doorsnee router. Wachtwoord vergeten? Rebooten en tijdens de eerste seconde iets speciaals doen, en het ding vergeet pronto alle beveiligingen en laat je zonder verdere strubbelingen voorbij alle hindernissen.

(Voor wie interesse heeft: 'een speciaal commando via de UART' klinkt als twee druppels water als de BREAK die je in de eerste seconde naar de console-poort van een Cisco kunt sturen. Dat start de ROMMON, waarin je de password-beveiliging kunt omzeilen en het geheugen van het device kunt lezen en schrijven. Andere fabrikanten hebben vergelijkbare mechanismen voor debugging en password recovery.

Los daarvan: als iemand fysieke toegang heeft tot je device ben je sowieso toast. Al moeten ze een header solderen om bij de JTAG-interface te komen: iemand met fysieke toegang is vrijwel niet tegen te houden.)
13-11-2019, 08:22 door Anoniem
Huawei
13-11-2019, 09:22 door Anoniem
Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is

Ik heb deze zin 3 keer gelezen, ook in het originele artikel op Darkreader, en ik snap deze stelling totaal niet. Het komt op mij over als paradoxaal. Kan iemand dit uitleggen?
13-11-2019, 10:22 door Anoniem
Door Anoniem:
Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is

Ik heb deze zin 3 keer gelezen, ook in het originele artikel op Darkreader, en ik snap deze stelling totaal niet. Het komt op mij over als paradoxaal. Kan iemand dit uitleggen?

Je zult de bootloader kunnen updaten als je eenmaal ingelogd bent in het normale OS .

In de oude situatie was het
"power down, start up, doe magische code - en gebruik de hex editor/debugger om iets te zien en aan te passen"

In de nieuwe situatie wordt het dan
"power down, start up, doe een valide login in het OS en dan kun je weer/nog dingen zien en aanpassen of een andere bootloader terug flashen" .

Om de bootloader (of andere dingen) te updaten na de fix moet je dan eerst correct toegang hebben tot het OS.
(of de soldeerbout pakken, jtag kabel aansluiten, en al die andere hardware opties )

Eens met burne101 @00:23 - net zoals de reset/recovery opties op allerhande netwerk apparatuur of ander embedded spul.

Je wordt wel eens heel moe van de sensatie zoekers - en trouwens ook van het soort researchers dat mysterieus zit te insinueren "het is een raadsel waar de feature voor nodig is" . Dat is of gelogen, of het zijn mensen die nog nooit gewerkt hebben - dat het voor security niet geweldig is moge zo zijn, de reden waarom de features gebouwd worden is ontzettend logisch.
13-11-2019, 10:57 door Anoniem
Door Anoniem: De update(s) zullen vast ook middels usb worden.
Geheel volgens voorgeschreven script.

En al die Nederlandse bedrijven die dit hebben draaien maar onderdeel zijn van de zogenaamde vitale infrastructuur worden vast door een speciaal team van toezicht door Grapperhaus bezocht.....

Grapperhaus weet ook echt om welke functie het betreft? Was het de WiFi of VPN ?
13-11-2019, 11:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.

En dus probeer je iemand maar mondood te maken.... Adequate reactie?... m'n neus, dit is willens en wetens gewoon een backdoor.

Ben jij dan die nepnieuwsverspreider?
Als je nou volgende keer geen frame om je frame heenzet is er misschien iemand die geneigd is om je serieus te nemen

Dus? DUS?
Waar lees je dat ik iemand monddood maak?
Nergens.
En meestal gaat dat gepaard met bargoens taalgebrek/taalgebruik (iets met klep bek kop muil etc.) waar ik me van distantieër. De aannames vliegen de nobele lezertjes hier weer om de oren.

Dan:

Willens en wetens een backdoor

Ja hoor....Siemens heeft opzettelijk een backdoor - als zodanig negatief geclassificeerd - geprogrammeerd. Waar concludeer je dat uit? Classificeren degenen die deze kwetsbaarheid hebben ontdekt als een backdoor? NEEN.
Wat is jouw expertise om dat wel te doen?

Houd toch op met dat framen! De hele wereld gaat naar de gallemiessen door dat framen!
Het valt me nog mee dat je niet zoals anoniem van 12-11, 17:00 uur met Grapperhaus af komt zakken.

(Hoog tijd dat die vervloekte social media zoals bijvoorbeeld Facebook die de katalysator is van onbeschoft en leugenachtig communiceren - of dat normaal is! - aan banden wordt gelegd. het is volksdwaasheid # 1 aan het worden.)
13-11-2019, 11:54 door Anoniem
Dus met fysieke toegang heb je toegang tot het device? Niet bepaald schrikbarend of iets dergelijks. Zeker niet als je er vanuit gaat dat de meeste PLC's in ergens (veilig) in een rack hangen.

Interessant detail, bij S7-300 en S7-400 PLCs kan je uberhaupt doen wat je wil via het S7 protocol. Geen authenticatie of encryptie en de logic zelf kan aangepast worden mits je het protocol snapt.

Nog eentje: Siemens PLCs kunnen geconfigureerd worden via Profinet DCP protocol. Een layer 2 protocol waarmee je van alles kunt aanpassen en niet uit gezet kan worden. Zit gewoon ingebakken.
13-11-2019, 12:14 door Anoniem
Ik snap al die comotie niet, belangrijke industriele systemen behoren netwerk segmentatie te hebben. Lekker belangrijk als er dan een remote access backdoor is, die niet bereikbaar is.

Voor de rest lijkt me het in alle gevallen onwenselijk dat er functies zijn die niet gedocumenteerd en gepubliceerd worden.
13-11-2019, 14:52 door Anoniem
Door Anoniem:
Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is

Ik heb deze zin 3 keer gelezen, ook in het originele artikel op Darkreader, en ik snap deze stelling totaal niet. Het komt op mij over als paradoxaal. Kan iemand dit uitleggen?

Simple, The attacker model here is supply chain attack. During transportation (something which was done by NSA, etc). Now assume that via a software update you can update an SPI flash chip from Siemens, well, it also implies that attacker (e.g., NSA) can also overwrite the bootloader via software update and prevent future software updates. If you can not do it via software update, then it means that attackers (again e.g., NSA(sorry NSA to use you too often for this example)) also can not update the bootloader SPI flash chip.

The attack requires UART which is exposed in S7 without requiring to open the PLC (as part of I/O expansion in the left side of the PLC).
13-11-2019, 17:16 door Anoniem
Door Anoniem: Ik snap al die comotie niet, belangrijke industriele systemen behoren netwerk segmentatie te hebben. Lekker belangrijk als er dan een remote access backdoor is, die niet bereikbaar is.

Voor de rest lijkt me het in alle gevallen onwenselijk dat er functies zijn die niet gedocumenteerd en gepubliceerd worden.

Lekker belangrijk als Cisco/Huawei een backdoor in hun apparatuur heeft zitten, moeten ze het netwerk maar veilig maken.

Sure.
13-11-2019, 18:53 door [Account Verwijderd]
Door Anoniem:
Houd toch op met dat framen! De hele wereld gaat naar de gallemiessen door dat framen!
Het valt me nog mee dat je niet zoals anoniem van 12-11, 17:00 uur met Grapperhaus af komt zakken.

(Hoog tijd dat die vervloekte social media zoals bijvoorbeeld Facebook die de katalysator is van onbeschoft en leugenachtig communiceren - of dat normaal is! - aan banden wordt gelegd. het is volksdwaasheid # 1 aan het worden.)

Wilbert, je hebt je account wel verwijderd maar je toon verraad je.
13-11-2019, 18:55 door [Account Verwijderd] - Bijgewerkt: 13-11-2019, 19:14
Door Anoniem:
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.

Had ik trouwens al gezegd dat SIEMENS een BACKDOOR in hun PLC heeft zitten?

Ik heb overigens ook nog wel een linkje naar media die wel benoemen dat er een backdoor in de PLC zit:
https://www.securitynewspaper.com/2019/11/07/experts-found-a-backdoor-in-siemens-plcs-critical-infrastructure-and-scada-networks-affected/
https://www.digitalmunition.me/experts-found-a-backdoor-in-siemens-plcs-scada-networks-affected/
14-11-2019, 09:20 door Anoniem
Door Kwitny Speers:
Door Anoniem:
Door Kwitny Speers: Siemens maakt zich dus gewoon schuldig aan het leveren van software MET een BACKDOOR.

'Special access feature' is een vriendelijke manier van een backdoor, kijk als het over Huawei zou gaan dat zou er natuurlijk wel groots uitgepakt worden in de media dat Huawei apparatuur levert met een backdoor. Voor Siemens en Cisco gelden andere normen in de media.

Natuurlijk rijdt het in de wielen van de sensatie framer (3 x backdoor = 5% van de complete tekst maar liefst) om de adequate reactie van Siemens te respecteren en gewoon zoals het fatsoenlijke mensen betaamt de even fatsoenlijke reactie (update) van Siemens af te wachten.

2020...
Framen, nepnieuws en aannames verspreiden is het 'goede voornemen' voor het aanstormende jaar.
Dat is m.i. meer huiveringwekkend dan elke backdoor.

Had ik trouwens al gezegd dat SIEMENS een BACKDOOR in hun PLC heeft zitten?

Ik heb overigens ook nog wel een linkje naar media die wel benoemen dat er een backdoor in de PLC zit:
https://www.securitynewspaper.com/2019/11/07/experts-found-a-backdoor-in-siemens-plcs-critical-infrastructure-and-scada-networks-affected/
https://www.digitalmunition.me/experts-found-a-backdoor-in-siemens-plcs-scada-networks-affected/

Lekkere hype die "media" van je. De onderzoekers noemen het zelf een "special access feature", dus wat zeur je.
14-11-2019, 15:33 door Anoniem
'Special Access Feature' Enabled dat zier er als SAFE uit.
14-11-2019, 20:49 door Anoniem
Door Anoniem: Huawei
Nee, dat heb je verkeerd begreepen, het ging hier over Siemens.
14-11-2019, 20:54 door Anoniem
Door burne101:klinkt als twee druppels water als de BREAK die je in de eerste seconde naar de console-poort van een Cisco kunt sturen.
Het probleem daarvan is dat het vrij lastig is om dat ongemerkt te doen. Het ding gaat door die reset eigenlijk even 'uit' en 'aan' en de eraan gekoppelde machine zal dan niet normaal blijven werken. Het idee erachter is dat dit dus opvalt en alermbellen doet afgaan.
14-11-2019, 21:26 door Anoniem
Door Anoniem:En al die Nederlandse bedrijven die dit hebben draaien maar onderdeel zijn van de zogenaamde vitale infrastructuur worden vast door een speciaal team van toezicht door Grapperhaus bezocht.....
Uiteraard. Grapperhaus en Co zullen laten nagaan of deze 'special access feature' nog wel overal nog actief is, anders zal het bedrijf een vette boete krijgen, vitaal of niet..
14-11-2019, 21:37 door Anoniem
Door Anoniem:... belangrijke industriele systemen _*behoren*_ netwerk segmentatie te hebben ...
Insdwerdaad, _*behoren*_. Dat wil niet zeggen dat dat ook op de juiste wijze is uitgevoerd.
Het gebreut vast wel eens dat een leverancier toegang op afstand eist en uiteindelijk krijgt op een manier, die niet de juiste voorgeschreven is, omdat bla bla bla, spoed, prio, etc en dat het tijdelijk is etc, maar daarna niet meer wordt uitgezet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.