Onderzoekers hebben in de bootloader van de Siemens S7-1200 PLC een ongedocumenteerde feature ontdekt waardoor een aanvaller met fysieke toegang code in de PLC kan uitvoeren. PLC's (programmable logic controllers) worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen.
Siemens is een vooraanstaande leverancier van PLC's en de S7 PLC-serie behoort tot één van de meest gebruikte PCL's in de industrie. De beruchte Stuxnet-malware richtte zich op Siemens PLC's die in de Iraanse uraniumverrijkingscentrale van Natanz werden gebruikt. De afgelopen jaren heeft Siemens verschillende beveiligingsmaatregelen aan de eigen PLC's toegevoegd.
Het gaat onder andere om het controleren van de integriteit van de firmware tijdens het opstarten. Dit gebeurt via een aparte bootloader die in een aparte SPI-flashchip aanwezig is. De firmware van deze chip is niet via de website van Siemens verkrijgbaar. Onderzoekers Ali Abbasi, Tobias Scharnowski en Thorsten Holz van Ruhr-University Bochum ontdekten in deze bootloader een ongedocumenteerde 'special access feature'.
Deze feature is te activeren door binnen de eerste halve seconde tijdens het opstarten via de UART-interface een speciaal commando te versturen. Via de feature kan er tijdens het opstarten naar het geheugen worden geschreven en is het mogelijk om code in de PLC uit te voeren. Zo lukte het de onderzoekers om via de firmware-updater eigen code naar de PLC-flashchip te schrijven zonder dat de checksumfeature van de bootloader dit ontdekte.
Een aanvaller kan door de feature de beveiligingsmaatregelen die Siemens heeft genomen omzeilen. Aan de andere kant kan de eigenaar van het systeem de feature als een forensische interface voor de PLC gebruiken, bijvoorbeeld om kwaadaardige code op de PLC te detecteren.
Het is voor de onderzoekers een raadsel waarom de feature aanwezig is. "Vanuit een beveiligingsstandpunt is het niet verstandig om te hebben, aangezien je het geheugen kunt lezen en schrijven en de inhoud van het geheugen kunt dumpen", zegt Abbasi tegenover DarkReading. De onderzoekers informeerden Siemens over de feature. De fabrikant werkt nu aan een update.
"Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is", stelt Abassi. Het is nog onbekend wanneer de oplossing van Siemens verschijnt. De onderzoekers wachten dan ook nog met het vrijgeven van hun tool om de firmware te dumpen en analyseren. Tijdens de Black Hat-conferentie volgende maand in Londen zullen de onderzoekers hun onderzoek presenteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.