Gapend gat bij honderden SCADA-leveranciers
Onderzoekers hebben in de software van honderden SCADA-leveranciers een ernstig probleem ontdekt waardoor aanvallers systemen in de kritieke infrastructuur kunnen manipuleren. Het probleem is aanwezig in CoDeSys (Controller Development Systemm) een door 3S-Smart Software Solutions ontwikkeld automatiseringspakket. Het wordt gebruikt voor programmable logic controllers (PLCs) en engineering workstations.
Een PLC is een verzameling van processor bestuurde virtuele relays, die de controlesystemen van industriële machines aansturen. Het pakket wordt standaard door honderden producenten van industriële automatiseringscomponenten toegepast.
Leveranciers
Volgens onderzoekers van Digital Bond zit er een kwetsbaarheid in CodeSys waardoor een aanvaller ongeauthenticeerde configuratieaanpassingen aan de PLC kan doorvoeren, waaronder willekeurige code. De ladder-logica van CodeSys, wat een verzameling instructies voor de PLC is en waardoor een aanvaller de werking van de PLC kan manipuleren, werkt op verschillende besturingssystemen.
Digital Bond heeft de melding van de kwetsbaarheid direct online gezet, zonder coördinatie met 3S of de getroffen SCADA-leveranciers die het pakket gebruiken. Het zou in totaal om 261 leveranciers gaan, hoewel onduidelijk is of ze allemaal kwetsbaar zijn. "We hebben het hier over 261 leveranciers met verschillende besturingssystemen dus het kan nog wel even duren voordat we dit onveilige ontwerpprobleem hebben opgelost", aldus de onderzoekers.
Aanval
Bij één leverancier wilden de tools van de onderzoekers niet werken. Deze leverancier, die anoniem wil blijven, past een secure development lifecycle (SDL) toe, die onder andere uit dreigingsmodellering bestaat. Tijdens de analyse ontdekte de leverancier dat het mogelijk was om kwaadaardige ladder-logica of andere kwaadaardige bestanden te uploaden, zonder dat CoDeSys hier iets aan deed.
De volgende stap van de onderzoekers is het ontwikkelen van Metasploit modules, de populaire hackertool waarmee security professionals en systeembeheerders de veiligheid van netwerken en machines kunnen testen.
Ben je gelijk van een hoop gezeik af, en ja de Black-hats kennen zo hun andere truckjes maar de scriptkiddies
die natuurlijk ook een hoop kwaad kunnen door hun geklik sluit je zo wel al af van de gevaarlijke dingen die men
kan doen met de SHODAN zoekmachine.
Wat vinden jullie hiervan? Een scriptkiddie kan een hoop kwaad doen waar niemand op zit te wachten!!!
Moet men de SHODAN zoekmachine niet sluiten?
Volgens niet-industriele IT kenners geldt nl: SCADA == kerncentrale.
Da's wel weer erg ongenuanceerd de andere kant van het verhaal, ik zie een zelfmoord-terrorist liever vóór zijn daad tegengehouden worden, en niet tijdens of na... Daarnaast heeft o.a. Stux toch wel bewezen dat het niet alleen kan maar ook daadwerkelijk gebeurde, met alle (mogelijke) gevolgen van dien.
Dat er kiddies rondlopen die beter kunnen "internetten" dan logisch nadenken over gevolgen (het zijn niet voor niets kinderen), geeft toch stof tot nadenken lijkt me, zeker nu dit soort kwetsbaarheden aan standaard tool-boxes worden toegevoegd.
Wat ik dan wel weer mis is actief toegepaste wetgeving in plaats van geklaag inderdaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
