image

Siemens schoffeert onderzoeker, verzwijgt lek

donderdag 22 december 2011, 10:32 door Redactie, 8 reacties

Siemens heeft een beveiligingslek in de SIMATEC software waar bijna alle klanten mee te maken hebben voor een journalist verzwegen en tevens de ontdekker van het probleem geschoffeerd. Google-onderzoeker Billy Rios ontdekte dit jaar een kwetsbaarheid in de software van het Duitse bedrijf, waardoor aanvallers de authenticatie konden omzeilen en zo zonder gebruikersnaam en wachtwoord toegang kunnen krijgen. De software wordt gebruikt voor het beheren van Industriële Controlesystemen (ICS) en kritieke infrastructuur. Rios rapporteerde het lek in mei van dit jaar en wachtte nog steeds op een oplossing

Een verslaggever van Reuters benaderde Siemens, en hoorde van een woordvoerder dat er geen openstaande beveiligingsproblemen waren. "Voor alle leveranciers, gebruik dit als een les hoe je niet met beveiligingsonderzoekers omgaat die je gratis beveiligingsadvies geven en een half jaar lang hun mond houden over een authenticatie-lek in je producten", aldus een getergde Rios op zijn eigen weblog.

Aangezien Siemens stelt dat er geen openstaande problemen zijn, besloot de onderzoeker het lek te openbaren. "Of Siemens heeft keihard tegen de pers gelogen over het bestaan van het beveiligingslek waarmee kritieke infrastructuur is te beschadigen, maar Siemens zou toch niet liegen, dus ik denk dat er geen authenticatie-lek is."

Wachtwoord
Rios ontdekt dat het standaard wachtwoord voor Siemens SIMATIC "100" is. "Er zijn drie verschillende diensten die zijn blootgesteld als Siemens SIMATIC geïnstalleerd is: web, VNC en Telnet." De standaard inlog voor de webinterface is "Administrator:100" en de VNC service vereist alleen het wachtwoord "100", zonder gebruikersnaam. De onderzoeker vermoedt dat dit het lek dat een andere hacker gebruikte om een rioolsysteem binnen te dringen. Verder ontdekte Rios dat als de gebruiker het wachtwoord wijzigt en een vreemd karakter toevoegt, het wachtwoord automatisch in "100" wordt veranderd.

Een nog veel groter probleem is dat het session-cookie voor een ingelogde beheerder niet echt willekeurig is. Een aanvaller kan hiermee op afstand een SIMATIC HMI overnemen, dat de controlesystemen en kritieke infrastructuur over de hele wereld aanstuurt, zonder gebruikersnaam of wachtwoord te weten, aangezien de waarde voor de sessie volledig voorspelbaar is.

Reacties (8)
22-12-2011, 10:41 door Anoniem
Hoe kan je in vredesnaam KRITIEKE infrastructuur ZOOO ontzettend zwak beveiligen!?
Zelfs een mac is nog veiliger...
22-12-2011, 12:18 door Anoniem
Dat moeten ze niet te vaak doen, dat soort zooi heeft namelijk de implicaties waar ze in de eerste instantie nu blijkbaar bang van zijn. Alleen dan wel keer honderd. Ze zouden er beter aan doen om dat maar gewon op zijn minst te erkennen en er in ieder geval aan proberen te werken, kost uiteindelijk veel minder. belabberd management zeg daar, zullen wel een paar van die corpsballen zitten tegenwoordig. van die ventjes met gebrek aan (levens)ervaring die meteen in paniek raken als het spannend wordt. likt wel een trend tegenwoordig.
22-12-2011, 12:19 door Anoniem
@medeano
hahaha, dat is toch logisch.. omdat die systemen NIET van buiten benaderbaar dienen te zijn.. Niet voor rapportjes, niet voor management statistieken, niet voor engineers, gewoon simpelweg vier letters, NIET

Maar ja, rapportjes zijn geil, statistieken sexy en engineers krijgen geen leasebak meer.. Bovendien dienen vier letters voor iets ingewikkelds te staan om moeilijk over te komen..

Daarom, voor 2012, alle systemen over op NIET
No Internet Enabled Transactions


--SecuritY begins with Simplicity, and ends with You---
22-12-2011, 13:06 door Anoniem
Kan best... gelukkig is het systeem dan nog altijd lekker veilig voor de mensen die de moeite nemen om social engineering toe te passen etc. Door geen internet-koppelingen te maken los je echt niet alle problemen op. Volgens mij gaat dit over de baggerslechte beveiliging van Siemens. Opmerkingen zoals de veiligste machines staan uitgeschakeld, daar kunnen we allemaal vrij weinig mee. Gelukkig sluit je nog af met een mooie slotzin waar ik de tranen van in mijn ogen krijg.
22-12-2011, 15:06 door Anoniem
@anoniem (12:19);

wat een lekkere phrase, die smelt niet in de hand maar wel in de mond.

en bedankt!
22-12-2011, 16:04 door Anoniem
Je bedoel baggerslechte beveiliging van SIMATEC.Ik denk dat Siemens zelf wel goed beveiligd is.
22-12-2011, 20:36 door Anoniem
December 22nd, 2011 at 9:58 am
Alex Machowetz said:
Dear Billy and other IT experts,
Siemens has issued the following statement on http://www.siemens.com/industrialsecurity today, December 22nd, 2011:
“Siemens was notified by IT experts (Billy Rios and Terry McCorke) about vulnerabilities in some of its automation products. These are the WinCC flexible RT versions from 2004 to 2008 SP2 and WinCC Runtime Advanced V11 and multiple Simatic panels (TP, OP, MP, Comfort). We are aware of the reported vulnerabilities, first reported in May 2011. Our development had immediately taken action and addressed these issues. The vulnerabilities will be fixed by security updates, first is planned to be issued in January 2012. In December 2011 further vulnerabilities have been reported which are currently under investigation. We thank Billy Rios and Terry McCorke for reporting the vulnerabilities.”
My email sent to Reuters on Tuesday, Dec 20, referred to the point that we are not aware of any further issues in addition to the vulnerabilities reported by you and Terry McCorke. It was meant as an email reply to a Reuters request, asking Reuters for more specific information, not as an official company’s statement. Please apologize if this was misleading, it was never our intention to deny vulnerabilities we are currently working on.
Best regards,
Alex Machowetz, Head of Business Press at Siemens Industry
PS: My full contact data is posted on the Siemens Media Relations Website. The Siemens PR office is always available for a quick call to avoid misinterpretations like that.
30-04-2015, 15:22 door Anoniem
Dit is duidelijk een verhaal van iemand die de klok heeft horen luiden maar geen idee heeft waar de klepel hangt.
Ja, Siemens is niet echt goed met zijn beveiligingen, maar een default wachtwoord een beveiligingslek noemen gaat een beetje ver vind ik...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.