Starbleed: Low-level Sicherheitslücke in Hardware vieler IT- und OT-Systeme

24. Mai, 2020

Field Programmable Gate Arrays, kurz FPGAs, sind programmierbare Zusatzschaltungen. Sie sind oft Schlüsselbauteile sicherheitsrelevanter Systemfunktionen und werden beispielsweise in Servern in Data-Centern, in Routern oder in Firewalls eingesetzt. Häufig sind sie auch bei Arbeitsplatzrechnern und komplexeren Industrie- und IoT-Systemen anzutreffen, wo sie wesentliche logische Funktionen kontrollieren und steuern.

Ein großer Vorteil der FPGA-Chips ist die flexible Programmierung der benötigten logischen Verbindungen und Funktionen. Im Gegensatz zu fest vorgegebenen Logikschaltungen lässt sich derselbe Baustein unterschiedlich konfigurieren und auch nachträglich erweitern oder anpassen. Die Konfiguration wird über den sogenannten „Bitstream“ abgebildet und durch Verschlüsselung abgesichert, um unerlaubten Zugriff und Manipulation zu verhindern.

Grundlegende Schwachstelle im Chip-Design

Bisher galten FPGA-Chips als sehr sicher, weshalb sie oft und gerne für tiefgehende Systemfunktionen verbaut wurden. Eine gemeinsame Forschungsarbeit des Horst-Götz-Instituts an der Ruhr-Universität Bochum und des Max-Planck-Instituts weist jedoch eine grundlegende Sicherheitslücke nach.[1] Das Besondere an dieser „Starbleed“ getauften Schwachstelle ist, dass das Problem im Design der Chips liegt und nur durch Austausch derselben behoben werden kann.

Der Fehler im Programmier- und Updateprozess erlaubt es, sowohl Funktionen auszulesen, als auch veränderte Programmabläufe einzuschleusen. Theoretisch kann die Schwachstelle auch über Fernzugriff ausgenutzt werden. Die benötigten Werkzeuge für einen Angriff sind meist direkt in den betroffenen Systemen verfügbar.

Hersteller gibt Empfehlungen zur Absicherung

Xilinx als Hersteller der betroffenen Chips bestätigt in einem Statement die grundlegenden Ergebnisse der Forscher, verweist jedoch auch darauf, wie wichtig systembedingte Absicherungen der Zugriffs- und Programmierschnittstellen sind. Den Empfehlungen folgend sollen die Bausteine nur geschützt über Remote-Zugriffsmöglichkeiten verfügen.

Eine nachträgliche Absicherung betroffener Systeme sollte zumindest teilweise möglich sein. Für kritische Systeme, die kein Update und keinen Patch erhalten können, bleibt nur der Austausch oder ein physikalisches Upgrade der betroffenen Teilkomponenten, z.B. des Mainboards. Neuere Versionen der FPGA-Chips sollen außerdem nicht mehr anfällig sein. [2]

Besonders wichtig ist daher im ersten Schritt die Identifikation der Systeme, die von der Schwachstelle betroffen sind, um entsprechende Entscheidungen zu treffen und notwendige Maßnahmen einzuleiten. Beachten Sie dazu bitte die Veröffentlichungen Ihrer Zulieferer!

[1] https://www.usenix.org/conference/usenixsecurity20/presentation/ender

[2] https://www.zdnet.com/article/starbleed-bug-impacts-fpga-chips-used-in-data-centers-iot-devices-industrial-equipment/

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download