Nieuws

Siemens laat Stuxnet-lek al 571 dagen ongemoeid

maandag 9 april 2012, 11:57 door Redactie, 9 reacties

De kwetsbaarheid waardoor de Stuxnetworm een Iraanse uraniumverrijkingscentrale wist te infecteren is nog altijd niet gepatcht. "Het is verbijsterend en een falen van de ICS-gemeenschap dat er 571 dagen gepasseerd zijn sinds Ralph Langner de PLC-aanval van Stuxnet openbaarde en er nog zo goed als niets aan de beveiligingsproblemen is gedaan", aldus Dale Peterson, CEO van Digital Bond. Op het bedrijfsblog laat hij weten dat het uitvoeren van Stuxnet-achtige aanvallen eenvoudig is.

"We besloten dat de modicon_stux_transfer module nodig was om te laten zien dat het kinderspel is om de kwaadaardige ladder-logica op de meeste PLC's te installeren", gaat Bond verder. Een ontwikkelaar van Digital Bond was minder dan acht uur kwijt om informatie tussen de Programmable Logic Controller (PLC) op te vangen en zijn eigen ladder-logica vervolgens te uploaden.

Een PLC is een verzameling van processor bestuurde virtuele relays, die de controlesystemen van industriële machines aansturen. Via de ladder-logica, wat een verzameling instructies voor de PLC is, kan een aanvaller de werking van de PLC manipuleren.

In het geval van Stuxnet liet de malware de centrifuges op verschillende toeren draaien, maar liet de systeembeheerders een stabiel aantal toeren zien. Door het veranderde toerental zouden uiteindelijk zo'n duizend centrifuges zijn beschadigd.

Metasploit
Digital Bond besloot vervolgens een Metasploit-module te maken zodat ook anderen de aanval kunnen uitvoeren. Metasploit is een populaire toolkit voor het testen van de beveiliging van systemen en netwerken.

"Via de module kan een remote, ongeauthenticeerde gebruikers de actieve "ladder-logica" downloaden en uploaden. Dit is volledig ongeauthenticieerde connectiviteit via Modbus, en deze functionaliteit is gelijk aan de SCADA-lading van de Stuxnetworm", zo is in de omschrijving te lezen. In totaal verschenen er zes nieuwe SCADA-modules voor Metasploit.

Windows XP ondersteuning eindigt over 2 jaar

Chinees defensiebedrijf ontkent inbraak door hacker

Reacties (9)

09-04-2012, 12:40 door [Account Verwijderd]

[Verwijderd]

09-04-2012, 22:16 door staubsauger

Sure... Het gaat hier over een (mod)bus functie in het protocol van de PLC, niet over een applicatie.
Deze man weet heel goed waar hij over praat.

09-04-2012, 22:33 door Anoniem

Bij ieder bericht dat ik op deze site lees heb ik de gewoonte ontwikkeld om eerst met Google vast te stellen wat voor belang de auteur heeft in deze wereld.
Op www.digitalbond.com is te lezen dat "Dale moved to the commercial security industry" en even verderop is het volgende te lezen: "improve the security of PLC and DCS".
Hij heeft dus belangen om het het FUD in leven te houden.
Wat betreft Stuxnet an sich zijn er verschillende patches van zowel Microsoft als Siemens te krijgen.
Volg de link:
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view

Al het andere is geschiedenis.
Wat ik ook altijd "fijn" vind is dat ze auteur meteen even een Metasploit in elkaar draait. Wat wil hij daarmee bereiken?

Trouwens voor zover ik weet slaat "modicon_stux_transfer op de Modicon PLC van Schneider en niet op Siemens?
Wanneer je deze Metasploit leest staat dit ook in de broncode.

Ik zal het wel niet begrijpen. Helaas.

10-04-2012, 07:12 door Overcome

Door pe0mot: Onzin! Er is geen ladder programmering in de bedoelde applicaties. Man weet niet waar hij over praat.
Stoer hacker taal, gebakken lucht, commercieel vast handige jongen.

Ik heb het idee dat de technical lead van Metasploit het niet helemaal met je eens is, want op https://community.rapid7.com/community/metasploit/blog/2012/04/05/metasploit-update geeft hij aan dat hij zeer tevreden is met de zaken die gevonden zijn. Als je wat meer over ladder logic leest, kun je op je klompen aanvoelen dat dat wel degelijk betrekking heeft op de gerefereerde (Schneider Quantum ) PLC.

10-04-2012, 08:27 door Anoniem

Ik ben niet anders van Siemens gewend dat ze geen veilige code/applicaties schrijven. Half Nederlands internet hangt met zakelijke Siemens modems/routers aan de lijn zonder dat er een deugdelijk wachtwoord op het apparaat zit. Mede met dank aan een groot telecombedrijf dat het kennelijk niet nodig vind om haar klanten veilig aan het net te hangen.

10-04-2012, 08:37 door Anoniem

Volgens mij bedoelt de man dat hij de ladder programmering uit kan lezen, kan wijzigen en weer in de PLC-kan laden.

Jammer, dat er een plaatje met assembler bij staat en niet een plaatje met een ladder-diagram.

10-04-2012, 10:08 door RickDeckardt

make klikbaar
*ratelratel*
https://community.rapid7.com/community/metasploit/blog/2012/04/05/metasploit-update

10-04-2012, 10:54 door Anoniem

http://www.digitalbond.com/2012/04/06/stuxnet-type-attacks-are-easy/

The modicon_stux_transfer module allows you to show a Stuxnet-type attack on a Modicon Quantum PLC in two steps:

1. Anyone with logical access can download the existing ladder logic / program on the PLC.

2. Anyone with logical access can upload their own rogue ladder logic / program to the PLC to replace the legitimate program.

This is where the module is identical to the Stuxnet end game in that it loads rogue ladder logic to the PLC – the Siemens S7 PLC in Stuxnet, the Modicon Quantum for the new Metasploit module.

Exploit module is dus voor een andere PLC, maar een soortgelijke kwetsbaarheid zit in de PLC die in de Stuxnet aanval van nieuwe ladder logica werd voorzien.

Mijn vermoeden is dat dit wel eens een industriebreed probleem kan zijn.

10-04-2012, 17:30 door Anoniem

De Modicon hack heeft helemaal niets te maken met Stuxnet, het enige gemeenschappelijke is dat beiden een (aangepast) PLC programma op een PLC konden laden. Wel overeenkomstig is de mogelijkheid om op een PLC
een programma te downloaden zonder authenticatie, maar dat kan op elke PLC.

Het heeft verder ook niets met 'ladder' te maken, een andere programmeertaal kan ook. Het kunstje zit hem
er blijkbaar in dat uitgezocht is hoe een ladder-programma gecompileerd is naar PLC-assembly. Dat is bepaald
geen rocket-science.

Verder snap ik niet wat de titel van het artikel met het artikel zelf te maken heeft?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer