Unbekannte Gefahr bei Industrial Control Systems: Warum das Scannen nicht-standardisierter Ports in ICS essenziell ist
26.03.2025
IT, NewMedia & Software

Kommentar von Ariana Mirian, Senior Security Researcher bei Censys
Der Blick über den Tellerrand: Standard-Port +/- 1 Scanning
Viele ICS-Protokolle laufen nicht nur auf ihrem Standard-Port, sondern können auch auf den benachbarten Ports betrieben werden. Um herauszufinden, wo ICS-Protokolle tatsächlich aktiv sind, ist ein gezieltes Scanning auf ihren Standard-Ports sowie deren direkter Umgebung zielführend. So kann beispielsweise beobachtet werden, dass Modbus mit dem Standard-Port 502 häufig auch auf den Ports 501 und 503 aktiv ist.
Für eine gezielte Untersuchung dieses Phänomens kann systematisch nach ICS-Protokollen auf den Standard-Ports sowie angrenzenden Ports gesucht werden. Ein besonders interessanter Test ist das ATG-Protokoll. Automatic Tank Gauges wird zur Überwachung und Verfolgung von Tankinhalten wie Kraftstoff genutzt. Das Protokoll ist zwar nicht das am weitesten verbreitete ICS-Protokoll, wird aber dennoch zahlreich genutzt. Der offizielle Standard-Port für ATG ist 10001, ein gezielter Scan der benachbarten Ports 10000 und 10002 führt zu bemerkenswerten Ergebnissen: Von rund 7.000 identifizierten Hosts, die eine Protokollantwort lieferten, reagierten fast 1.300 Hosts auf den Nicht-Standard-Ports auf ATG-Anfragen. Dies entspricht knapp 20 % der gefundenen Systeme. Ähnliche Ergebnisse zeigen sich für weitere ICS-Protokolle wie WDBRPC, DIGI, FINS, BACNET, S7, IEC 60870-5-104, OPC UA und DNP3. Die Analyse zeigt eine erhebliche Zunahme der erfassten Systeme im Laufe der Beobachtung - in einigen Fällen fast eine Verdopplung der erkannten ICS-Geräte, in anderen Fällen einen moderaten Anstieg.
Anhand dieser Ergebnisse könnte man erwarten, dass die drei Standard-Ports +/- 1 die größten Ports für jedes Protokoll sind. Doch ist dies auch wirklich immer der Fall?
Port-Tweaking: Ports mit ungewöhnlicher Zahlenfolge scannen
Eine weitere interessante Beobachtung betrifft das Modbus-Protokoll. Denn neben dem Standard-Port 502 lässt sich ein auffälliges Muster identifizieren: Viele Modbus-Geräte reagierten auch auf Port 6502. Dabei handelt es sich jedoch keineswegs um eine willkürliche Wahl, sondern vielmehr eine einfache Methode - das Voranstellen einer Ziffer vor bekannte Ports oder den Standard-Port. Dies führt zu einem neuen Ansatz für das Scannen von ICS-Ports: das Port-Tweaking. Port-Tweaking wurde auf Basis der Hypothese aufgebaut, dass Dienste nicht nur auf leicht abweichenden Ports betrieben werden, sondern dass in manchen Fällen eine bestimmte Zahl vorangestellt wird. Ein Beispiel dafür ist HTTPS: Es läuft normalerweise auf Port 443, aber oft auch auf Ports wie 1443, 2443, 3443 und 4443.
Für die Bestätigung dieser Hypothese wurde eine Untersuchung mit Fokus auf ICS-Geräte durchgeführt, die bereits als potenzielle ICS-Hosts erfasst waren, jedoch keine ICS-spezifischen Protokolle wie Modbus oder DNP aufwiesen. Eine Kennzeichnung als potenzielles ICS bedeutet in der Regel, dass eine Art HTTP-basierte Schnittstelle vorhanden ist. Durch gezielte Scans auf Port-Tweaks konnten über 200 zusätzliche ICS-Hosts identifiziert werden, die zuvor unentdeckt geblieben waren. Die häufigsten dabei gefundenen Protokolle waren Modbus und Fox, wobei auch einige andere industrielle Kommunikationsprotokolle erfasst wurden.
Diese Ergebnisse zeigen, dass sich viele ICS-Systeme nicht an gängige Standards halten und dass innovative Scan-Techniken erforderlich sind, um ein vollständigeres Bild der tatsächlich im Internet erreichbaren Systeme zu erhalten. Port-Tweaks sind also bei einigen ICS-Protokollen beobachtbar, bei anderen jedoch nicht. Was also, wenn es andere Hotspots von Ports gibt, die für ICS-Protokolle beliebt sind, die aber keine Port-Tweaks sind? Was, wenn Hersteller standardmäßig einen offenen Port verwenden, der nichts mit dem Standard-Port zu tun hat, sodass dieser leicht übersehen werden kann?
Tiefensuche: 65k-Port-Scans und ihre Erkenntnisse
Für ein noch tieferes Verständnis der Port-Verteilung industrieller Steuerungssysteme wurde eine groß angelegte Analyse aller 65k-Ports durchgeführt. Statt eines blinden Scans des gesamten IOv4-Raums wurde eine gezielte Methode entwickelt:
- Einschränkung auf bereits als ICS identifizierte Hosts: Diese waren besonders relevant, da sie potenziell ICS-Protokolle nutzen, jedoch nicht unbedingt auf bekannten Ports.
- Filtern von Hosts mit zu vielen offenen Ports: Systeme, die bereits eine Vielzahl von offenen Diensten aufwiesen, wurden ausgeschlossen, um gezieltere Analysen zu ermöglichen.
- Ausschluss gängiger Web- und Standard-Ports: Ports wie 80, 443 und ähnliche wurden ignoriert, um den Fokus auf ungewöhnliche ICS-Ports zu legen.
- Scan: ICS-Scans gegen diese Host/Port-Paare und eine Analyse wurden durchgeführt, welche Ports für jedes Protokoll am häufigsten reagieren.
Diese systematische Untersuchung lieferte neben weniger überraschenden Ergebnissen - z.B. DNP3 auf Modbus Standard Port 502, Modbus auf 552 - auch unerwartete Ergebnisse. Beispielsweise wurde das WDBRPC-Protokoll auffällig oft auf Port 111 gefunden - einem Port, der sonst nicht mit ICS-Kommunikation in Verbindung gebracht wird. Bei der Analyse ist zu beachten, dass es sich um einen begrenzten Scan handelte mit Hosts, die mit hoher Wahrscheinlichkeit ansprechbar waren - die Ergebnisse kratzen also nur an der Oberfläche der Aufdeckung von ICS-Geräten.
Der blinde Fleck außerhalb der Standard-Ports
Die Ergebnisse der Untersuchungen zeigen, dass sich das traditionelle Verständnis über die Verteilung industrieller Kommunikationsprotokolle dringend weiterentwickeln muss. Der Fokus auf Standard-Ports reicht schlicht nicht mehr aus für ein umfassendes Bild der ICS-Bedrohungslandschaft. Dass sich viele ICS-Scans und Sicherheitsanalysen ausschließlich auf die Standard-Ports fokussieren, führt wie gezeigt dazu, dass eine große Anzahl potenziell sicherheitskritischer Systeme übersehen wird. Die zunehmende Verlagerung von ICS-Protokollen auf nicht-standardisierte Ports erfordert es, neue Methoden zur Identifikation dieser Systeme zu entwickeln. Für einen umfassenden Überblick über das Internet und Assets muss gezielt nach weiteren Mustern gesucht werden, die auf eine systematische Verschiebung der ICS-Port-Nutzung hindeuten. Klar ist: Die bisherige Herangehensweise muss überdacht werden, um die verborgenen Strukturen industrieller Kommunikation vollständig zu erfassen.
(Die Bildrechte liegen bei dem Verfasser der Mitteilung.)
Firmenkontakt:
Censys
S Main Street 116
48104 Ann Arbor
Deutschland
+1-888-985-5547
http://www.censys.com/de
Pressekontakt:
Sprengel & Partner GmbH
Nisterstraße 3
D-56472 Nisterau
+49 (0) 26 61-91 26 0-0
http://www.sprengel-pr.com
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Censys
20.03.2025 | Censys
Censys analysiert Schwachstelle in BIG-IP: 1.124 exponierte Instanzen und 437.204 betroffene Geräte
Censys analysiert Schwachstelle in BIG-IP: 1.124 exponierte Instanzen und 437.204 betroffene Geräte
13.03.2025 | Censys
Schwachstelle in Sitecore Experience Platform & Manager: Bis zu 1.366 Instanzen könnten betroffen sein
Schwachstelle in Sitecore Experience Platform & Manager: Bis zu 1.366 Instanzen könnten betroffen sein
11.03.2025 | Censys
Kommentar: Zero Day auf Netflix: Wie realistisch ist das Szenario eines landesweiten Cyberangriffs auf kritische Infrastrukturen?
Kommentar: Zero Day auf Netflix: Wie realistisch ist das Szenario eines landesweiten Cyberangriffs auf kritische Infrastrukturen?
06.03.2025 | Censys
Schwachstelle CVE-2025-23209: über 140.000 Anwendungen von Sicherheitslücke in Craft CMS 4 und 5 betroffen
Schwachstelle CVE-2025-23209: über 140.000 Anwendungen von Sicherheitslücke in Craft CMS 4 und 5 betroffen
Weitere Artikel in dieser Kategorie
29.03.2025 | Leon Wilkens
Die Bedeutung von Fashion ERP für die Modeindustrie
Die Bedeutung von Fashion ERP für die Modeindustrie
28.03.2025 | Matrixe
SEO im KI-Zeitalter: Sichtbarkeit neu denken
SEO im KI-Zeitalter: Sichtbarkeit neu denken
27.03.2025 | eperi GmbH
Datenaustausch zwischen Europa und den USA ist nicht mehr sicher
Datenaustausch zwischen Europa und den USA ist nicht mehr sicher
27.03.2025 | Chris Cross Relations
Datadobi stellt StorageMAP 7.2 vor: mehr Transparenz und Kontrolle über unstrukturierte Daten
Datadobi stellt StorageMAP 7.2 vor: mehr Transparenz und Kontrolle über unstrukturierte Daten
27.03.2025 | Tenable
Tenable erhält 5-Star Rating im CRN Partner Program Guide 2025
Tenable erhält 5-Star Rating im CRN Partner Program Guide 2025
