Twee beveiligingsonderzoekers zeggen dat ze verschillende zero-day kwetsbaarheden in SCADA-software hebben ontdekt, maar de details zijn alleen beschikbaar voor betalende klanten. ReVuln is opgericht door de onderzoekers Donato Ferrante en Luigi Auriemma. In een video op Vimeo beweert ReVuln dat ze in de SCADA-software van General Electric, Schneider Electric, Kaskad, ABB/Rockwell, Eaton en Siemens ernstige problemen hebben ontdekt.

Daardoor kan een aanvaller op afstand het systeem overnemen. SCADA-software wordt vooral binnen de kritieke infrastructuur gebruikt, zoals energie- en watervoorziening. In totaal demonstreerden de onderzoekers negen zero-days, lekken waarvoor nog geen update beschikbaar is, maar ze zouden er nog veel meer achter de hand hebben.

Handelswaar
"Het ICS-CERT heeft ons een paar minuten geleden benaderd met het verzoek om meer details, maar we geven die informatie niet prijs", aldus Auriemma tegenover IDG. "De lekken zijn onderdeel van het portfolio voor onze klanten, dus er worden geen publieke details geopenbaard, ze blijven privé."

Het bedrijf biedt op de eigen website een 'zero-day feed' aan, een betaalde dienst waar organisaties een abonnement op kunnen nemen en waar onbekende beveiligingslekken op worden gemeld.