Verkeerslichtsysteem door ernstige kwetsbaarheid over te nemen
Een ernstig beveiligingslek in een verkeerslichtcontrolesysteem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.
Het beveiligingslek, aangeduid als CVE-2020-12493, wordt veroorzaakt door een open debugpoort. Een dergelijke poort wordt vaak door ontwikkelaars gebruikt om problemen in een product te verhelpen. Het is meestal niet de bedoeling dat een openstaande debugpoort in het definitieve product achterblijft. In het geval van de LS4000 van Swarco was de debugpoort niet alleen zonder wachtwoord te gebruiken, het gaf gebruikers ook rootrechten.
Alleen het maken van een verbinding via de de debugpoort was zo voldoende om volledige controle over het systeem te krijgen. Het beveiligingslek werd gevonden door het Duitse securitybedrijf ProtectEM, dat voor een Duitse stad een security-audit uitvoerde. Peter Fröhlich, directeur van ProtectEM, laat tegenover SecurityWeek weten dat hij tijdens de audit voor de Duitse stad geen aanwijzingen heeft gevonden dat de Swarco-systemen via het internet toegankelijk zijn.
Een aanval via fysieke toegang tot het verkeerslichtennetwerk is dan ook waarschijnlijker. En vanwege de aard van dergelijke netwerken zijn die overal in de stad te vinden, aldus Fröhlich. "De toegang is bedoeld voor debugging. Het is dus geen bug of softwarefout die te misbruiken is. Het systeem is uitgerold met een configuratie die niet voor een productiesysteem is bedoeld, zonder beveiliging voor de toegangspoort", merkt de directeur op.
Swarco werd vorig jaar juli door het securitybedrijf geïnformeerd. Afgelopen april maakte de fabrikant een beveiligingsupdate voor klanten beschikbaar die de poort sluit. Steden en overheden die van de verkeerslichtsystemen gebruikmaken worden dan ook opgeroepen om met Swarco contact op te nemen.
Afgelopen dinsdag kwam het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, met een waarschuwing voor de kwetsbaarheid. De producten van Swarco worden in meer dan zeventig landen wereldwijd gebruikt.
bij Swarco is altijd wat te doen.
Bijna een jaar nodig om de debugpoort uit te schakelen? Het is duidelijk dat ze dit soort zaken heel serieus nemen...
De LS4000 zit in de verkeersregelkast. Vanaf internet is de LS4000 niet bereikbaar.
Heb je wat kwaads in het zin, dan moet je de met sloten afgesloten kast openbreken. (koevoet? Of Aage M. inhuren)
Als je de kast toch al opengebroken hebt, dan kan je net zo goed alle kaarten met de electronicacomponenten meenemen.
De Actros-kast wordt enkel nog gebruikt in België en Duitsland.
In Nederland zijn de VRI-eisen het strengst van Europa en hebben wij daarom de iTC-2-kast van Swarco. Deze heeft geen LS4000.
Om die reden is er voor de Nederlandse installaties geen beveiligingslek aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
