Doch nun haben Sicherheitsforscher von Nozomi Networks Labs mehr als ein Dutzend Sicherheitslücken gefunden, die die Integrität der Systeme in bestimmten Fällen, etwa bei falschen Konfigurationen bedrohen könnten. So könnte z. B. durch einen Man-in-the-Middle-Angriff das Niagara-System kompromittiert und die Verschlüsselung auf einem Netzwerkgerät deaktiviert werden. Die Angreifer würden so die Möglichkeit erhalten, sich in den Netzwerken auszubreiten und dort den Betrieb nachhaltig zu stören.
Bei den von Nozomi Network Labs beschriebenen Problemen handelt es sich um einen mehrstufigen Angriff unter Ausnutzung der Sicherheitslücken CVE-2025-3943 und CVE-2025-3944, über die ein Angreifer mit Zugriff auf das Netzwerk in ein Niagara-basiertes Zielgerät eindringen und letztlich Remotecode auf Root-Ebene ausführen könnte. Insbesondere CVE-2025-3943 ist hierbei gefährlich, denn Hacker könnten sie einsetzen, um das Anti-CSRF-Refresh-Token (Cross-Site Request Forgery) in Szenarien abzufangen, in denen der Syslog-Dienst aktiviert ist, sodass die Protokolle, die das Token enthalten, möglicherweise über einen unverschlüsselten Kanal übertragen werden.
Mit diesem Token wiederum kann ein CSRF-Angriff ausgelöst werden, der den Administrator des Netzwerks dazu bringen könnte, einen speziell gestalteten Link aufzurufen, der dazu führt, dass der Inhalt aller eingehenden HTTP-Anfragen und -Antworten vollständig protokolliert wird. Der Angreifer extrahiert dann das JSESSIONID-Sitzungstoken des Administrators und verwendet es, um eine Verbindung zur Niagara Station mit vollständigen erweiterten Berechtigungen herzustellen und einen neuen Backdoor-Administratorbenutzer für dauerhaften Zugriff zu erstellen.
In der nächsten Phase des Angriffs wird der zuvor erlangte administrative Zugriff missbraucht, um den privaten Schlüssel herunterzuladen, der mit dem TLS-Zertifikat des Geräts verknüpft ist, und um AitM-Angriffe (Adversary-in-the-Middle) durchzuführen, indem die Tatsache ausgenutzt wird, dass sowohl Station als auch Platform dieselbe Zertifikats- und Schlüsselinfrastruktur nutzen.
Mit der Kontrolle über die Platform könnte der Angreifer dann die Sicherheitslücke CVE-2025-3944 ausnutzen, um die Remotecodeausführung auf Root-Ebene auf dem Gerät zu ermöglichen und so die vollständige Kontrolle zu erlangen.
Vor der Bekanntgabe ihrer Erkenntnisse haben die Sicherheitsforscher den Niagara-Hersteller Tridium über die Sicherheitslücken informiert und ihm Gelegenheit gegeben, diese zu schließen, was mit der Veröffentlichung der Versionen 4.14.2u2, 4.15.u1, or 4.10u.11 geschehen ist. Nun liegt es also an den Nutzern, ihre Systeme schnellstmöglich zu aktualisieren. Da das Niagara-Framework häufig in kritischen Systemen eingesetzt wird, um IoT-Netzwerke mit IT-Netzwerken zu verbinden und damit ein lohnendes Ziel für Cyberkriminelle darstellt, sollten sich die Verantwortlichen damit nicht allzu lange Zeit lassen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
