image

Nederlanders winnen Pwn2Own-wedstrijd met zerodays in industriële software

vrijdag 22 april 2022, 10:16 door Redactie, 6 reacties

De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade van Computest Security hebben de internationale hackerwedstrijd Pwn2Own gewonnen door verschillende zerodaylekken in industriële software te demonstreren. Tijdens Pwn2Own Miami worden onderzoekers beloond voor het tonen van onbekende kwetsbaarheden in industriële controlesystemen die worden gebruikt voor het aansturen en beheren van productieprocessen.

Keuper en Alkemade vonden tijdens hun onderzoek onder meer kwetsbaarheden in de categorie Control Server-oplossingen die zorgen voor voor connectiviteit, monitoring en beheer van verschillende industriële systemen. De kwetsbaarheden werden aangetoond in de controlservers Iconics Genesis64 en Inductive Automation Ignition en zorgen ervoor dat aanvallers systemen volledig kunnen overnemen.

Ook werden kwetsbaarheden gevonden in de categorie OPC Unified Architecture (UA). Dit is het universele vertaalprotocol dat door bijna alle ICS-producten wordt gebruikt om data te verzenden tussen systemen van verschillende leveranciers. Binnen de .NET implementatie demonstreerden de Nederlandse onderzoekers hoe ongeautoriseerd toegang verkregen kan worden en hoe daarmee de mogelijke werking van systemen kan worden beïnvloed.

Bij de C++ implementatie werd een Denial-of-Service (DoS) gevonden. Hierdoor kan een aanvaller ervoor zorgen dat de systemen niet meer in staat zijn met elkaar te communiceren en daarmee zijn plat te leggen. Verder wisten Keuper en Alkemade kwetsbaarheden in AVEVA Edge te demonstreren. Dit systeem was het doelwit in de categorie Human Machine Interface (HMI). Met een HMI krijgen beheerders toegang tot verschillende hardware-onderdelen. Als een HMI wordt overgenomen hebben beheerders geen inzicht meer in de status en mogelijke problemen met de hardware. Daardoor kunnen productieprocessen ernstig worden verstoord zonder dat dit direct wordt gesignaleerd.

"Wat we in ons onderzoek hebben gezien bij deze ICS-systemen is vergelijkbaar met de kwetsbaarheden die eerder in zakelijke it-systemen zijn gevonden. Je zou het kunnen zien als kinderziekten, die echter grote gevolgen kunnen hebben voor productieprocessen die op hun beurt de gehele supply chain beïnvloeden", aldus Keuper. De onderzoeker wil naar eigen zeggen niet alleen zichzelf uitdagen met het onderzoek, maar ook bewustzijn creëren bij gebruikers. "Zodat zij niet klakkeloos met systemen aan de slag gaan zonder serieus naar de beveiliging te hebben gekeken." Voor de verschillende kwetsbaarheden ontvingen de Nederlanders in totaal 90.000 dollar.

Reacties (6)
22-04-2022, 10:57 door Anoniem
Samen met zijn collega Thijs Alkemade vond hij de kwetsbaarheden in een soort digitale 'blauwdruk' die wordt gebruikt door makers van dat soort industriële systemen. Doordat veel van deze systemen deze blauwdruk gebruiken, komen de kwetsbaarheden in potentie in één keer op heel veel plekken voor.

https://nos.nl/artikel/2426042-nederlanders-kraken-industriele-systemen-en-winnen-hackcompetitie

Met de 'blauwdruk' wordt de firmware bedoeld, waarmee veel van de industriële SCADA regelsystemen wordt uitgerust.
23-04-2022, 11:03 door Anoniem
Binnen de .NET implementatie demonstreerden de Nederlandse onderzoekers hoe ongeautoriseerd toegang verkregen kan worden
Ligt dat nu aan de Microsoft technologie of aan de programmeurs van die systemen?
24-04-2022, 07:14 door Anoniem
Dat ligt aan de programmeurs. Veel fouten kunnen voorkomen worden door in de development pipeline al te testen. Nadeel van .Net (en java) is dat je de binaries makkelijk(er) kan decompilen dan C/C++/Go. Dan kun je dus sneller bugs ontdekken. Obfuscation kan dat werk weer wat moeilijker maken.

Root cause is dat Industrial achterloopt op gebied van veilig programmeren en vulnerability disclosure (onbereikbaar/geen patch/half werkende patch). Dat zagen we ook met de IoT markt en dat trekt langzaam bij. Dus MS doet het zo slecht nog niet.

Wat mij blijft verbazen is dat grote bedrijven dan niet gelijk hun hele codebase scannen op soortgelijke vulnerabilities. (hoi Cisco, Norton). Dan kun je soms gewoon dezelfde bug class in een ander product misbruiken.
24-04-2022, 08:35 door Anoniem
Door Anoniem:
Binnen de .NET implementatie demonstreerden de Nederlandse onderzoekers hoe ongeautoriseerd toegang verkregen kan worden
Ligt dat nu aan de Microsoft technologie of aan de programmeurs van die systemen?

Beiden. Dit is nooit security gerelateerd geweest, "als het maar werkt".
Het gaat in ICS (SCADA) land puur om beschikbaarheid. De beheerders van dit soort systemen zijn als de dood voor patches, want ze weten niet wat het kapot maakt. Komt ook een beetje door het niet kunnen nabouwen van zo'n testopstelling, die zijn héél kostbaar. Over het algemeen wordt er ook niet gepatcht; risico is laag, want niet aan het internet. (maar soms toch wel :( )
25-04-2022, 10:35 door Anoniem
Onderzoekers vinden 60 kwetsbare Nederlandse SCADA-systemen
maandag 5 augustus 2019, 16:04 door Redactie

https://www.security.nl/posting/619674/Onderzoekers+vinden+60+kwetsbare+Nederlandse+SCADA-systemen
25-04-2022, 10:50 door Anoniem
Sommige SCADA modules zitten in een fabriek of installatie soms wel 30 jaar op hun plaats. Dan mag je hopen dat je nog ergens een programmeur kunt vinden, die de taal beheerst waarin de firmware ooit is geschreven. Aangenomen dat men nog de hand op de oorspronkelijke broncode van het flash image (?) weet te leggen.

Enfin. Vaak is de enige oplossing het regelsysteem volledig van het internet los koppelen en isoleren, d.w.z. een air gap toepassen, want anders is het gebruik onverantwoord. Ook een afstandsbediening met TeamViewer bij industriële installaties gebruiken is problematisch, waar eerdere berichtgeving op Security.NL al bij herhaling tegen waarschuwde.

https://www.security.nl/posting/690021/FBI+beveiligingstips+voor+TeamViewer+na+aanval+op+waterzuivering
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.