image

Siemens: Zero-day lek is miscommunicatie

zondag 25 december 2011, 09:44 door Redactie, 1 reacties

De onthulling van een ernstig lek in de industriële software van Siemens deze week, is volgens het Duitse concern een gevolg van een miscommunicatie. Een verslaggever van persbureau Reuters vroeg om informatie over openstaande lekken, en kreeg te horen dat er geen openstaande problemen waren. De woordvoerder van Siemens stelt nu dat de verslaggever vroeg of er naast de door Billy Rios en Terry McCorke gerapporteerde kwetsbaarheden, ook nog andere problemen speelden. Daarop liet de woordvoerder weten dat er verder geen lekken bekend waren. Hij zou nooit het bestaan van de in mei gemelde kwetsbaarheden hebben ontkend.

Lekken
Rios ontdekte dat het standaard wachtwoord voor Siemens SIMATIC "100" is. "Er zijn drie verschillende diensten die zijn blootgesteld als Siemens SIMATIC geïnstalleerd is: web, VNC en Telnet." De standaard inlog voor de webinterface is "Administrator:100" en de VNC service vereist alleen het wachtwoord "100", zonder gebruikersnaam.

Een nog veel groter probleem is dat het session-cookie voor een ingelogde beheerder niet willekeurig is. Een aanvaller kan hiermee op afstand een SIMATIC HMI overnemen, dat de controlesystemen en kritieke infrastructuur over de hele wereld aanstuurt, zonder gebruikersnaam of wachtwoord te weten, aangezien de waarde voor de sessie volledig voorspelbaar is.

Patch
Op de eigen website meldt Siemens dat het de problemen in de software via beveiligingsupdates zal patchen. De eerste update staat voor januari 2012 gepland. Daarnaast zijn deze maand andere lekken gerapporteerd, die Siemens nu onderzoekt. Daarbij bedankt het ook de onderzoekers. "We bedanken Billy Rios en Terry McCorke voor het melden van de kwetsbaarheden."

Reacties (1)
26-12-2011, 02:56 door Anoniem
Hoe je het dus ook bekijkt: het zijn een stel prutsers van het eerste uur bij Siemens. Zowel op gebied van productontwikkeling als woordvoering. En van dat soort bedrijven neemt de overheid, semipublieke sector en bedrijfsleven dus producten af zonder zich maar af te vragen of dat wel veilig is. Het is om je kapot voor te schamen als je met zo'n bedrijf in zee gaat! Maar zolang iedereen maar zn kop in het zand heeft gaat alles goed en hoef je geen verantwoordelijkheid te nemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.