De software die voor energiecentrales, vliegvelden en fabrieken wordt gebruikt is zo onveilig dat één onderzoeker in één ochtend 23 voorheen onbekende beveiligingsproblemen heeft ontdekt. SCADA (Supervisory control and data acquisition) is het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in grote industriële systemen.

Een SCADA-systeem bestaat uit een computer met daarop de SCADA-software. Aaron Portnoy van het beveiligingsbedrijf Exodus Intelligence besloot vanwege alle recente berichten over lekken in SCADA- systemen zelf de veiligheid van deze belangrijke software te testen.

Al na zeven minuten had Portnoy het eerste zero-day-lek te pakken. Uiteindelijk ontdekte de onderzoeker in de beperkte tijd die hij voor zijn onderzoek had uitgetrokken 23 kwetsbaarheden. Het gaat om de software van Rockwell Automation, Schneider Electric, Indusoft, RealFlex en Eaton Corporation. Via de kwetsbaarheden is het in het ergste geval mogelijk om het onderliggende systeem over te nemen. Ook kunnen aanvallers de systemen uitschakelen of saboteren.

Simpel
"het interessantste van deze lekken was hoe eenvoudig ze te vinden waren. De eerste te misbruiken zero-day duurde slechts 7 minuten om te ontdekken van het moment dat de software geïnstalleerd was. Voor iemand die door bedrijven en consumenten gebruikte software heeft geaudit, is SCADA in vergelijking absurd eenvoudig", merkt Portnoy op.

De kwetsbaarheden zijn inmiddels aan het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) overgedragen, die ze met de SCADA-leveranciers zal coördineren.