Vorsichtsmaßnahmen beim Einsatz von PROFINET Geräten — PROFINET Security Advisory PISA-001
Hintergrund
Unter bestimmten Umständen kann es zu einem dauerhaften Verlust der Kommunikationsfähigkeit zwischen PROFINET Controller und PROFINET Device führen, wenn ein Angreifer mit direktem (physischem) Zugang zum PROFINET Netzwerk die Geräte unter Nutzung der DCP-Dienste des PROFINET Protokolls angreift. Der Grund hierfür liegt in der Natur des DCP-Dienstes, der vom PROFINET-Protokoll bereitgestellt wird. Dieser DCP-Dienst kann genutzt werden, um Geräteparameter per DCP-Kommando zu ändern oder zurückzusetzen. Beispiele hierfür sind DCP-Set (NameOfStation) oder DCP-Set (Reset-to-Factory). Im Rahmen der bisher bestehenden PROFINET-Spezifikation sind für die Verwendung von DCP keine Sicherheitsfunktionen vorgesehen.
Auswirkung
Unter bestimmten Bedingungen kann ein Angreifer - mit direktem Zugriff auf das OT-Netzwerk - den PROFINET Controller daran hindern, eine Kommunikation mit einem PROFINET Device aufzubauen und damit den Betrieb des Gerätes stören. Ein manuelles Eingreifen des Anwenders ist erforderlich. Das Gerät wird durch einen Angriff nicht zerstört, sondern ist lediglich nicht mehr für die CPU erreichbar. Eine neue Zuweisung des PROFINET-Namens oder der IP-Adresse kann den Gerätebetrieb wiederherstellen.
Maßnahmen
Helmholz empfiehlt seinen Kunden eine strenge Zugriffsrichtlinie für das Netzwerk einzuführen bzw. zu überprüfen. Zugriffe aus anderen Zonen in das PROFINET-Netzwerk sind einzuschränken, insbesondere DCP-Dienste sind zu sperren. Die kann durch eine Firewall oder durch eine passende VLAN-Konfiguration erwirkt werden.
Neuere Versionen der PROFINET-Spezifikation adressieren dieses Problem durch die Einführung von PROFINET-Security in der Sicherheitsklasse 1. Helmholz wird sukzessive bei allen aktiven PROFINET-Komponenten die PROFINET Sicherheitsklasse 1 implementieren und neue Firmware-Versionen zur Verfügung stellen.
Weitere Informationen
PROFINET Security Advisory: Improper Access Control for DCP Services (PNO Identifier: PISA-001).