image

Verkeerslichtsysteem door ernstige kwetsbaarheid over te nemen

vrijdag 5 juni 2020, 16:30 door Redactie, 13 reacties

Een ernstig beveiligingslek in een verkeerslichtcontrolesysteem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.

Het beveiligingslek, aangeduid als CVE-2020-12493, wordt veroorzaakt door een open debugpoort. Een dergelijke poort wordt vaak door ontwikkelaars gebruikt om problemen in een product te verhelpen. Het is meestal niet de bedoeling dat een openstaande debugpoort in het definitieve product achterblijft. In het geval van de LS4000 van Swarco was de debugpoort niet alleen zonder wachtwoord te gebruiken, het gaf gebruikers ook rootrechten.

Alleen het maken van een verbinding via de de debugpoort was zo voldoende om volledige controle over het systeem te krijgen. Het beveiligingslek werd gevonden door het Duitse securitybedrijf ProtectEM, dat voor een Duitse stad een security-audit uitvoerde. Peter Fröhlich, directeur van ProtectEM, laat tegenover SecurityWeek weten dat hij tijdens de audit voor de Duitse stad geen aanwijzingen heeft gevonden dat de Swarco-systemen via het internet toegankelijk zijn.

Een aanval via fysieke toegang tot het verkeerslichtennetwerk is dan ook waarschijnlijker. En vanwege de aard van dergelijke netwerken zijn die overal in de stad te vinden, aldus Fröhlich. "De toegang is bedoeld voor debugging. Het is dus geen bug of softwarefout die te misbruiken is. Het systeem is uitgerold met een configuratie die niet voor een productiesysteem is bedoeld, zonder beveiliging voor de toegangspoort", merkt de directeur op.

Swarco werd vorig jaar juli door het securitybedrijf geïnformeerd. Afgelopen april maakte de fabrikant een beveiligingsupdate voor klanten beschikbaar die de poort sluit. Steden en overheden die van de verkeerslichtsystemen gebruikmaken worden dan ook opgeroepen om met Swarco contact op te nemen.

Afgelopen dinsdag kwam het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, met een waarschuwing voor de kwetsbaarheid. De producten van Swarco worden in meer dan zeventig landen wereldwijd gebruikt.

Reacties (13)
05-06-2020, 17:04 door Anoniem
Alle seinen op rood voor Swarco
05-06-2020, 17:49 door karma4
Door Anoniem: Alle seinen op rood voor Swarco
Altijd beter dan ongecontroleerd alle seinen op groen.
05-06-2020, 17:59 door souplost
audit ? Dit bedrijf heeft duidelijk haar otap CI/CD pijplijn niet in orde of e ris gezondigd.
05-06-2020, 19:08 door Anoniem
Het stoplicht springt op rood, het stoplicht springt op groen,
bij Swarco is altijd wat te doen.
06-06-2020, 10:38 door Anoniem
Swarco werd vorig jaar juli door het securitybedrijf geïnformeerd. Afgelopen april maakte de fabrikant een beveiligingsupdate

Bijna een jaar nodig om de debugpoort uit te schakelen? Het is duidelijk dat ze dit soort zaken heel serieus nemen...
06-06-2020, 13:01 door Anoniem
Je staat tenminste niet voor paal als je zo'n licht kunt rooten.
06-06-2020, 16:45 door Anoniem
Wie gaat nou een verkeerslicht debuggen ?
06-06-2020, 18:53 door Anoniem
Een storm in een glas water.
De LS4000 zit in de verkeersregelkast. Vanaf internet is de LS4000 niet bereikbaar.
Heb je wat kwaads in het zin, dan moet je de met sloten afgesloten kast openbreken. (koevoet? Of Aage M. inhuren)
Als je de kast toch al opengebroken hebt, dan kan je net zo goed alle kaarten met de electronicacomponenten meenemen.
06-06-2020, 19:55 door Anoniem
Dit is de kwetsbaarheid waarvan ze in The Italian Job gebruik hebben gemaakt.
06-06-2020, 21:03 door Anoniem
Door Anoniem: Dit is de kwetsbaarheid waarvan ze in The Italian Job gebruik hebben gemaakt.
Dus de kasten van verkeersregelinstallaties moeten zo sterk en veilig zijn als de kluis van de Nederlandse Bank? Dat gaat je extra wegenbelasting kosten.
08-06-2020, 09:55 door Anoniem
De LS4000 zit in de verkeersregelkast Actros. Deze LS4000 is niet vanaf het internet niet bereikbaar en kan slechts fysiek (in de kast) benaderd worden.
De Actros-kast wordt enkel nog gebruikt in België en Duitsland.
In Nederland zijn de VRI-eisen het strengst van Europa en hebben wij daarom de iTC-2-kast van Swarco. Deze heeft geen LS4000.
Om die reden is er voor de Nederlandse installaties geen beveiligingslek aanwezig.
08-06-2020, 22:59 door Anoniem
Door Anoniem: Om die reden is er voor de Nederlandse installaties geen beveiligingslek aanwezig.
Moet zijn: ... geen bekende veiligheidslek ....
18-06-2020, 08:53 door Anoniem
In Nederland geen beveiligingslek bij Swarco? Wie heeft dat onderzocht? Waar zijn de resultaten van dat onderzoek? De Nederlandse Swarco's hebben dan geen LS4000, maar om te zeggen dat ze geen beveiligingslek hebben gaat me wat te ver. Als de deur van een Swarco kast open is dan begint het feestje..........
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.