VS waarschuwt voor SCADA-lekken
Een Amerikaanse onderzoeker heeft in Italiaanse SCADA-software lekken ontdekt, terwijl een Italiaanse onderzoeker kwetsbaarheden in Amerikaanse SCADA-software aantrof. Het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), onderdeel van het ministerie van Homeland Security, waarschuwt voor een kwetsbaarheid in de Movicon Human Machine Interface (HMI) software. De programmatuur is door het Italiaanse Progea Srl ontwikkeld.
Door het versturen van een speciaal geprepareerd HTTP POST request kan een aanvaller het systeem laten crashen. Het lek werd door onderzoeker Dillon Beresford ontdekt. Movicon is een XML-gebaseerd human-machine interface ontwikkelsysteem dat drivers voor
programmable logic controllers (PLCs) bevat. Om het lek te misbruiken zou volgens ICS-CERT "middelmatige" kennis zijn vereist.
Overflow
Aan de andere kant van de oceaan vond de Italiaanse beveiligingsonderzoeker Luigi Auriemma verschillende lekken in de Pro-Server EX Data Management Software van het Amerikaanse Pro-face. Via de lekken kan een aanvaller verschillende overflows veroorzaken. Een oplossing voor de problemen is nog niet beschikbaar.
Tevens ontdekte Auriemma een kwetsbaarheid in de Wonderware Archestra SuiteLink, waardoor een aanvaller de SCADA-software kan laten crashen. Ook in dit geval is er nog geen update van de leverancier beschikbaar.
Als ze nou echt een exploit hebben op de machines te besturen. En als ze al iets kunnen besturen is er wel een MESS/SAP laag die dat opmerkt.
Beetje naieve opmerking. SCADA wordt voor veel zaken gebruikt waar geen mens naast zit/monitort. In 2003 al bij .... een audit gedaan naar KA-systeem omgeving. Kwam ook SCADA tegen, maar men wilde er niets over horen omdat het niet de opdracht was. Is er in de tussentijd wat aangedaan....denk het niet. Dus half Nederland kan op deze wijze op zwart, of een groot gedeelte onderwater.
Terecht of onterecht, dat doet we even niet toe in dit geval.
Kenmerk van een process control system, SCADA of DCS is dat alleen geauthoriseerde personen, in de vorm van operators en engineers toegang hebben tot de applicatie omgeving. Het mechanisme is dus duidelijk anders als bij een publieke website.
Wanneer iemand vrolijk met http post requests kan versturen heeft hij zich blijkbaar op één of andere wijze toegang weten te verschaffen tot de inner circle.
Voor diegene die het nog niet weet en berichten niet kan duiden: 100% beveiliging bestaat niet. Wat je ook onderneemt om industriële systemen te beveiligen (daar praten we hier over) er zal altijd iemand zijn die een methode weet te vinden om de beveiligingen te omzeilen.
Daarom hebben we het 'defence in depth' principe ontwikkeld. En zo hoort het ook.
Een crashende applicatie is vaak een eerste indicatie van een ernstiger probleem, zoals een buffer overflow.
Als dit erg onveilig is denk ik er over om de poorten te sluiten en het bedrijf via een dichtgetimmerde RDP toegang te geven, deze staat toch al open voor medewerkers, zodat het systeem alleen van binnenuit de organisatie bereikbaar is.
Helaas hangen vele systemen aan Internet met oude versies van Windows en zonder beveiliging. Met het idee, dit IP adres kent men toch niet......struisvogels. En geloof me, managers weten er van alleen de top wil het niet horen!
Immers, die audit was bedoeld voor een eventuele beurs gang en ging dus over financien. Core systemen waren een no-go.
Dus beste SBBo: wij weten wel hoe het hoort, maar sommige top-managers bij (grote) bedrijven willen het niet weten. Lippendienst was alles wat men aan deed.
Het erge was zelfs de toenmalige CISO dit niet wilde weten.
Een gemaal, op afstand bestuurd middels een SCADA systeem gekoppeld aan het Internet met een Win 95 installatie. Zitten er dan mensen in het gemaal? Jongens/meisjes wordt eens wakker en ga niet van je eigen wereldje uit waar het natuurlijk wel goed zit :\
Energie verdeelpunten, idem....zitten daar mensen? En ja, het ging hier om een energieleverancier.
2) hoeveel van deze systemen lopen er echt groot gevaar doordat ze publiek met een interface aan het internet hangen, en weten de eigenaren dat ook?
3) in plaats van nationalistisch met modder gooien is het wijzer om elkaar te helpen kritieke infrastructuur te beschermen en veilig te onderhouden. Iets met responsible disclosure, internationaal kennisdelen via CERTs en beseffen waar je mee bezig bent als je weet dat die systemen die SCADA draaien niet zomaar even geupdate zijn.
Een scada systeem laten crashen is iets anders als de PLC laten crashen.
@rookie:
Alle scada systemen hangen aan internet, hopelijk wel beveiligd via VPN met tokens voor inloggen en remote desktop/firewalls (en toen werd ik wakker, hopelijk worden de ICT mensen ook eens wakker).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
