Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft een waarschuwing gegeven voor een zeer ernstig beveiligingslek in een industrieel veiligheidssysteem dat door allerlei fabrieken wordt gebruikt en het doelwit van de Triton-malware is.
De kwetsbaarheid bevindt zich in het Schneider Electric Triconex Tricon-systeem. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met de maximale score van een 10 beoordeeld. Het Triconex Safety Instrumented System (SIS) is een autonoom controlesysteem dat onafhankelijk de status monitort van de processen die het controleert. Als een proces een bepaalde parameter overschrijdt die op een gevaarlijke situatie duidt, probeert het SIS het proces in een veilige staat te krijgen of schakelt het proces uit. Naast SIS-controllers zijn fabrieken ook voorzien van een Distributed Control System (DCS), waarmee menselijke operators de industriële processen kunnen monitoren en controleren.
Vorig jaar wisten aanvallers via de Triton-malware toegang tot een SIS-werkstation van een Petrochemische fabriek in Saudi- Arabië te krijgen. Vervolgens besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Volgens Schneider Electric maakte de Triton-malware gebruik van een zeroday-lek in het systeem.
Het ICS-CERT, dat onderdeel van het Amerikaanse ministerie van Binnenlandse Veiligheid is, waarschuwt voor twee kwetsbaarheden in het Schneider Electric Triconex Tricon-systeem die specifiek door de Triton-malware worden aangevallen en eenvoudig zijn te misbruiken. Misbruik van de kwetsbaarheden maakt het mogelijk om het Safety Instrumented System verkeerd te informeren of te besturen, waardoor het mogelijk wordt om willekeurige code uit te voeren, het systeem uit te schakelen of het veiligheidssysteem te compromitteren. Schneider Electric heeft een update uitgebracht en klanten krijgen het advies om die te installeren. Daarnaast geeft het ICS-CERT nog aanvullende adviezen om Triconex-veiligheidssystemen te beveiligen.
Deze posting is gelocked. Reageren is niet meer mogelijk.