Tientallen industriële voedselproductiesystemen die ook in Europa worden gebruikt bevatten ernstige beveiligingslekken waardoor een aanvaller in het ergste geval de systemen kan overnemen en een update van de fabrikant is nog niet beschikbaar. Het gaat om de systemen van Marel, een IJslands bedrijf.
Beveiligingsonderzoeker Daniel Lance ontdekte dat de voedselproductiesystemen van Marel over een "hard-coded" wachtwoord beschikken dat niet door gebruikers kan worden aangepast. Daarnaast beschikken de systemen over een uploadfunctie die geen beperkingen aan het soort bestanden stelt. Daardoor kan een aanvaller kwaadaardige firmware uploaden. Via de kwetsbaarheden kan een aanvaller op afstand volledige controle over het systeem krijgen, zo meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.
De impact van beide kwetsbaarheden is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. Zoals gezegd heeft Marel nog geen beveiligingsupdates ter beschikking gesteld. Bedrijven krijgen dan ook generiek advies van het ICS om ervoor te zorgen dat ongebruikte poorten zijn gesloten, dat systemen die niet aan internet horen te hangen ook niet via internet benaderbaar zijn en in het geval remote toegang is vereist een vpn te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.