image

VS waarschuwt voor aangevallen lek in industrieel veiligheidssysteem

donderdag 19 april 2018, 16:33 door Redactie, 7 reacties

Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft een waarschuwing gegeven voor een zeer ernstig beveiligingslek in een industrieel veiligheidssysteem dat door allerlei fabrieken wordt gebruikt en het doelwit van de Triton-malware is.

De kwetsbaarheid bevindt zich in het Schneider Electric Triconex Tricon-systeem. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met de maximale score van een 10 beoordeeld. Het Triconex Safety Instrumented System (SIS) is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.

Vorig jaar wisten aanvallers via de Triton-malware toegang tot een SIS-werkstation van een Petrochemische fabriek in Saudi- Arabië te krijgen. Vervolgens besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Volgens Schneider Electric maakte de Triton-malware gebruik van een zeroday-lek in het systeem.

Het ICS-CERT, dat onderdeel van het Amerikaanse ministerie van Binnenlandse Veiligheid is, waarschuwt voor twee kwetsbaarheden in het Schneider Electric Triconex Tricon-systeem die specifiek door de Triton-malware worden aangevallen en eenvoudig zijn te misbruiken. Misbruik van de kwetsbaarheden maakt het mogelijk om het Safety Instrumented System verkeerd te informeren of te besturen, waardoor het mogelijk wordt om willekeurige code uit te voeren, het systeem uit te schakelen of het veiligheidssysteem te compromitteren. Schneider Electric heeft een update uitgebracht en klanten krijgen het advies om die te installeren. Daarnaast geeft het ICS-CERT nog aanvullende adviezen om Triconex-veiligheidssystemen te beveiligen.

Reacties (7)
19-04-2018, 17:23 door [Account Verwijderd]
Dit soort berichten baren mij veel meer zorgen dan het eindeloze gepruttel over privacy.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.

Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.
19-04-2018, 18:15 door Anoniem
Door Aha: Dit soort berichten baren mij veel meer zorgen dan het eindeloze gepruttel over privacy.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.

Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.

Zonder privacy en een bewustzijn op dat vlak is er geen kans dat mensen zich hier wel bewust van zouden zijn. Het jouwe het jouwe laten is een mindset die veel breder is dan alleen het één of het ander. In een wereld waarin men gewend is dat alles publiek is zal alles ook vanzelf publiek zijn.
19-04-2018, 19:35 door [Account Verwijderd]
Door Anoniem:
Door Aha: Dit soort berichten baren mij veel meer zorgen dan het eindeloze gepruttel over privacy.
Het overgrote deel van ons, de mensheid realiseert zich nog steeds onvoldoende hoe enorm diep digitale besturingssysteem zijn geworteld in realtech processen. Het bewustzijn van procesbewaker tot ingenieur/uitvinder komt langzaam op gang door enigszins vergelijkbare technologiën zoals Iot maar het gaat me te langzaam.

Wie realtech processen kan manipuleren - denk dan maar aan bijvoorbeeld dienstregeling van Prorail/NS vs. atb (automatisch trein beïnvloedingssysteem) heeft een griezelig grote machtsfactor in handen.

Zonder privacy en een bewustzijn op dat vlak is er geen kans dat mensen zich hier wel bewust van zouden zijn. Het jouwe het jouwe laten is een mindset die veel breder is dan alleen het één of het ander. In een wereld waarin men gewend is dat alles publiek is zal alles ook vanzelf publiek zijn.

Ik moet een gloeiend heet vergelijkingscriterium aanroeren om mijn punt kenbaar te maken en je gaat nu juist daar alleen op in. Dat is niet slechts wat ik zo jammerlijk vind maar ook hoe alles op het gebied van digitale security meer en meer wordt gedwongen privacy gerelateerd te zijn, of het krijgt het stigma, anders wekt het blijkbaar weinig of geen beroering. Andere zaken die blijkbaar belang afdwingen zijn malware gerelateerd aangaande bedreiging of vernietiging van - ook weer - privacy gerelateerde zaken zoals computerbestanden.

Jammer dat je het gevaar, zoals het onderwerp van dit topic, buigt - overigens heel goed geformuleerd - in een richting die al zo uittentreure belicht wordt.

Ik vermoed dat het misschien pas tot maatschappelijk bewustwording komt als bijvoorbeeld de sturing van een riooolwaterzuiveringsinstallatie wordt gecompromitteerd waardoor onvoldoende gereinigde lozingen in het waterwingebied van bijvoorbeeld de zuidelijke randstad plaatsvinden met als gevolg een groot aantal mensen die een dioxinevergiftiging oplopen.

Ik voorspel ook nagenoeg zeker dat dit belangwekkende nieuwsbericht met misschien nog enkele reacties hierna, wegkwijnt tussen de eindeloze reacties elders over privacy.

Verzuchting: Wat denken wij (hier) toch eenzijdig over digitale veiligheid. Betreuringswaardig.
19-04-2018, 22:37 door Anoniem
@Aha,

Niet iedereen doet dit.

Kregen we maar de algehele overtuiging dat we niet zonder "Safeguard" maatregelen kunnen van "front-end" tot "back-end".

Krijgen we maar het besef dat met een mogelijk te gebruiken 1 biljoen x 1 biljoen x 1 biljoen IPv6 addressen er levensbedreigende IoT onveiligheid op ons af kan komen. Automatisch botje-shodannetje-pats!

Ik ben maar bezig in mijn eigen kleine niche met mijn cold reconnaissance 3rd party website security analise en fouten jagen. Kwaadwillenden noemen mij een scan-ridder en een wanabee security figuur. Het deert me niet.
Ik laat ze in hun waan. F.R.A.V.I.A. waardeerde me en G2G waardeert me.

65% van alle op PHP gebaseerde WordPress CMS websites is tot op hoge mate onveilig.
Een XSS Cookie Stealer schrijven is niet zo'n toer.
Bij kwetsbare versies /#?-s achter de uri plaatsen en hopla, interessante PHP info vertoont zich.
Grotere onveiligheid nog in combinatie met angular.js.

Wat gebeurt eraan, leren we mensen betere websites bouwen
of krijgen we alleen maar alerts voor malware waar een afspraak over bestaat,
dat ze moeten worden gedetecteerd?

Hoe maken we een eind aan certificaten als root op bijvoorbeeld de naamserver?
Hoe voeren we code af, die kwetsbaar is of niet langer onderhouden wordt?

Het eenzijdige privacy denken gerelateerd aan het steeds meer verschuiven van server naar client voor big data ad grab.
En de client (browser) is het moeilijkst te verdedigen door de gemiddelde gebruiker zonder relevante kennis.

Er zijn er nog wel een paar die als jij denken, Aha, geloof mij.. Voel je niet zo alleen in deze,
maar vaak zijn wij de roependen in de woestijn en de sprekers voor het eigen koor.

Dus dan komt vanzelf, die niet luisteren wil moeten dan maar voelen
en met hun k*ntje op de spreekwoordelijke IT-blaren zitten.

Jodocus Oyevaer
20-04-2018, 04:29 door Anoniem
Als ik af en toe eens een blik werk op Windows based applicaties van ABB, Schneider of andere grotere spelers in deze markten kan ik mij niet aan de indruk ontrekken dat er totaal geen SDLC is. Er zijn simpele bugs zoals installatie in C:\ waardoor iedereen en zijn moeder lokaal files/executables kan wijzigen, DLL hijacking enz. welke eigenlijk niet voor mogen komen. Kijk je wat dieper dan kom je in bij fileparsing vaak al uit op memory corruption of xml injection.

Tja dan kan een klant zich natuurlijk ook lastig verdedigen.
Embedded/PLC/e.d. heb ik wat minder ervaring mee dus daar heb ik verder nog niet naar gekeken.
20-04-2018, 07:19 door karma4
Door Anoniem: @Aha,
Niet iedereen doet dit.

Kregen we maar de algehele overtuiging dat we niet zonder "Safeguard" maatregelen kunnen van "front-end" tot "back-end".
.....
Wat gebeurt eraan, leren we mensen betere websites bouwen
of krijgen we alleen maar alerts voor malware waar een afspraak over bestaat, dat ze moeten worden gedetecteerd?
......
Het eenzijdige privacy denken gerelateerd aan het steeds meer verschuiven van server naar client voor big data ad grab.
....
Jodocus Oyevaer
j
Met een andere technische achtergrond en andere ervaringen zit ik in de zelfde insteek. De mens en menselijke factor wordt te veel genegeerd met het achterna lopen van technische hypes in combinatie met groepsconformatie.

Je zou haast gaan denken dat het doorgeslagen "want privacy" geroeo heel goed uitkomt om geen betere ict aanpak met de menselijke maat de aandacht te geven.
Hoe kwetsbaar zijn we als er wat uitvalt. Ik krijg een beeld van figuren die niet we komen van een uitgevallen roltrap.
20-04-2018, 12:40 door Anoniem
Eh, dit speelde vorig jaar augustus toch al? Wat een snelle reactie...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.