Een Amerikaanse SCADA-leverancier die een beveiligingslek in de eigen software negeerde gaat het probleem toch oplossen nadat het in de media terecht is gekomen. Beveiligingsonderzoekers Billy Rios en Terry McCorkle hadden in het Niagara Framework van SCADA-leverancier Tridium een directory traversal kwetsbaarheid ontdekt. Hierdoor konden de onderzoekers het bestand met de gebruikersnamen en wachtwoorden downloaden, dit kraken, om vervolgens op het systeem in te loggen.
Het Niagara Framework wordt onder andere voor verschillende Pentagon-faciliteiten gebruikt. Rios en McCorkle waarschuwden Tridium maar ontvingen geen respons. Daarop werd het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid ingelicht. Ook deze instantie had geen succes in de communicatie met Tridium.
Reactie
Pas nadat er een artikel in Washington Post was verschenen en Rios op zijn eigen blog een toelichting publiceerde, besloot Tridium toch te reageren. In een verklaring aan het ICS-CERT laat het weten dat een patch voor het probleem in ontwikkeling is. In de tussentijd zouden systeembeheerders verschillende aanbevelingen kunnen opvolgen om de impact te beperken.
"We begrijpen hoe belangrijk security is en zijn toegewijd om je te helpen bij het maken van de vereiste aanpassingen aan de Niagara AX Framework software om de hoogste veiligheid te garanderen", aldus Tridium in de eigen advisory, waarin het de onderzoekers die het probleem ontdekten wel noemt, maar niet bedankt.
Deze posting is gelocked. Reageren is niet meer mogelijk.