Een Italiaanse beveiligingsonderzoeker heeft tal van beveiligingslekken in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan.
Luigi Auriemma vond maar liefst 35 problemen in de SCADA-software van Siemens, Iconics, 7-Technologies en DATAC. In 34 van de 35 lekken is het voor een aanvaller mogelijk om willekeurige code uit te voeren. Een probleem, want updates voor de kwetsbaarheden ontbreken. Daarnaast heeft Auriemma proof-of-concepts exploits online gezet.
Exploit
"In technische termen is SCADA-software gewoon hetzelfde als alle andere dagelijkse software", laat de Italiaan op de Bugtraq-mailinglijst weten. De reden dat de onderzoeker tot Full-disclosure overging, zonder eerst op een patch van de leveranciers te wachten, is dat "SCADA niemand iets kan schelen."
Onlangs verscheen er ook al een heus "exploit-pack" dat alle bekende SCADA-lekken bevat. De makers van het Agora SCADA+ Pack laten wetten dat SCADA-systemen lastig zijn te patchen, waardoor ook oude kwetsbaarheden nog relevant zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.