Das von der Honeywell-Tochter Tridium entwickelte Niagara Framework ermöglicht es den Nutzern, smarte Komponenten von Gebäuden und Industriesystemen zu vernetzen, unabhängig vom Hersteller der Hardware. Dazu zählen beispielsweise Heizungs- Lüftungs- und Klimatechnik, Beleuchtung, Energiemanagement und die Sicherheitssysteme. Somit ist das Niagara Framework eine praktische – und weit verbreitete – Lösung für das Gebäudemanagement, die Industrieautomation und für intelligente Infrastrukturen. Es besteht aus zwei Hauptkomponenten: „Station“, das mit angeschlossenen Geräten und Systemen kommuniziert und diese steuert, und „Platform“, die zugrundeliegende Softwareumgebung, die die notwendigen Dienste zum Erstellen, Verwalten und Ausführen von Stationen bereitstellt.
Doch nun haben Sicherheitsforscher von Nozomi Networks Labs mehr als ein Dutzend Sicherheitslücken gefunden, die die Integrität der Systeme in bestimmten Fällen, etwa bei falschen Konfigurationen bedrohen könnten. So könnte z. B. durch einen Man-in-the-Middle-Angriff das Niagara-System kompromittiert und die Verschlüsselung auf einem Netzwerkgerät deaktiviert werden. Die Angreifer würden so die Möglichkeit erhalten, sich in den Netzwerken auszubreiten und dort den Betrieb nachhaltig zu stören.
Bei den von Nozomi Network Labs beschriebenen Problemen handelt es sich um einen mehrstufigen Angriff unter Ausnutzung der Sicherheitslücken CVE-2025-3943 und CVE-2025-3944, über die ein Angreifer mit Zugriff auf das Netzwerk in ein Niagara-basiertes Zielgerät eindringen und letztlich Remotecode auf Root-Ebene ausführen könnte. Insbesondere CVE-2025-3943 ist hierbei gefährlich, denn Hacker könnten sie einsetzen, um das Anti-CSRF-Refresh-Token (Cross-Site Request Forgery) in Szenarien abzufangen, in denen der Syslog-Dienst aktiviert ist, sodass die Protokolle, die das Token enthalten, möglicherweise über einen unverschlüsselten Kanal übertragen werden.
Mit diesem Token wiederum kann ein CSRF-Angriff ausgelöst werden, der den Administrator des Netzwerks dazu bringen könnte, einen speziell gestalteten Link aufzurufen, der dazu führt, dass der Inhalt aller eingehenden HTTP-Anfragen und -Antworten vollständig protokolliert wird. Der Angreifer extrahiert dann das JSESSIONID-Sitzungstoken des Administrators und verwendet es, um eine Verbindung zur Niagara Station mit vollständigen erweiterten Berechtigungen herzustellen und einen neuen Backdoor-Administratorbenutzer für dauerhaften Zugriff zu erstellen.
In der nächsten Phase des Angriffs wird der zuvor erlangte administrative Zugriff missbraucht, um den privaten Schlüssel herunterzuladen, der mit dem TLS-Zertifikat des Geräts verknüpft ist, und um AitM-Angriffe (Adversary-in-the-Middle) durchzuführen, indem die Tatsache ausgenutzt wird, dass sowohl Station als auch Platform dieselbe Zertifikats- und Schlüsselinfrastruktur nutzen.
Mit der Kontrolle über die Platform könnte der Angreifer dann die Sicherheitslücke CVE-2025-3944 ausnutzen, um die Remotecodeausführung auf Root-Ebene auf dem Gerät zu ermöglichen und so die vollständige Kontrolle zu erlangen.
Vor der Bekanntgabe ihrer Erkenntnisse haben die Sicherheitsforscher den Niagara-Hersteller Tridium über die Sicherheitslücken informiert und ihm Gelegenheit gegeben, diese zu schließen, was mit der Veröffentlichung der Versionen 4.14.2u2, 4.15.u1, or 4.10u.11 geschehen ist. Nun liegt es also an den Nutzern, ihre Systeme schnellstmöglich zu aktualisieren. Da das Niagara-Framework häufig in kritischen Systemen eingesetzt wird, um IoT-Netzwerke mit IT-Netzwerken zu verbinden und damit ein lohnendes Ziel für Cyberkriminelle darstellt, sollten sich die Verantwortlichen damit nicht allzu lange Zeit lassen.
Doch nun haben Sicherheitsforscher von Nozomi Networks Labs mehr als ein Dutzend Sicherheitslücken gefunden, die die Integrität der Systeme in bestimmten Fällen, etwa bei falschen Konfigurationen bedrohen könnten. So könnte z. B. durch einen Man-in-the-Middle-Angriff das Niagara-System kompromittiert und die Verschlüsselung auf einem Netzwerkgerät deaktiviert werden. Die Angreifer würden so die Möglichkeit erhalten, sich in den Netzwerken auszubreiten und dort den Betrieb nachhaltig zu stören.
Bei den von Nozomi Network Labs beschriebenen Problemen handelt es sich um einen mehrstufigen Angriff unter Ausnutzung der Sicherheitslücken CVE-2025-3943 und CVE-2025-3944, über die ein Angreifer mit Zugriff auf das Netzwerk in ein Niagara-basiertes Zielgerät eindringen und letztlich Remotecode auf Root-Ebene ausführen könnte. Insbesondere CVE-2025-3943 ist hierbei gefährlich, denn Hacker könnten sie einsetzen, um das Anti-CSRF-Refresh-Token (Cross-Site Request Forgery) in Szenarien abzufangen, in denen der Syslog-Dienst aktiviert ist, sodass die Protokolle, die das Token enthalten, möglicherweise über einen unverschlüsselten Kanal übertragen werden.
Mit diesem Token wiederum kann ein CSRF-Angriff ausgelöst werden, der den Administrator des Netzwerks dazu bringen könnte, einen speziell gestalteten Link aufzurufen, der dazu führt, dass der Inhalt aller eingehenden HTTP-Anfragen und -Antworten vollständig protokolliert wird. Der Angreifer extrahiert dann das JSESSIONID-Sitzungstoken des Administrators und verwendet es, um eine Verbindung zur Niagara Station mit vollständigen erweiterten Berechtigungen herzustellen und einen neuen Backdoor-Administratorbenutzer für dauerhaften Zugriff zu erstellen.
In der nächsten Phase des Angriffs wird der zuvor erlangte administrative Zugriff missbraucht, um den privaten Schlüssel herunterzuladen, der mit dem TLS-Zertifikat des Geräts verknüpft ist, und um AitM-Angriffe (Adversary-in-the-Middle) durchzuführen, indem die Tatsache ausgenutzt wird, dass sowohl Station als auch Platform dieselbe Zertifikats- und Schlüsselinfrastruktur nutzen.
Mit der Kontrolle über die Platform könnte der Angreifer dann die Sicherheitslücke CVE-2025-3944 ausnutzen, um die Remotecodeausführung auf Root-Ebene auf dem Gerät zu ermöglichen und so die vollständige Kontrolle zu erlangen.
Vor der Bekanntgabe ihrer Erkenntnisse haben die Sicherheitsforscher den Niagara-Hersteller Tridium über die Sicherheitslücken informiert und ihm Gelegenheit gegeben, diese zu schließen, was mit der Veröffentlichung der Versionen 4.14.2u2, 4.15.u1, or 4.10u.11 geschehen ist. Nun liegt es also an den Nutzern, ihre Systeme schnellstmöglich zu aktualisieren. Da das Niagara-Framework häufig in kritischen Systemen eingesetzt wird, um IoT-Netzwerke mit IT-Netzwerken zu verbinden und damit ein lohnendes Ziel für Cyberkriminelle darstellt, sollten sich die Verantwortlichen damit nicht allzu lange Zeit lassen.
