Leverancier laat kritiek lek in beheersysteem voor watertanks ongemoeid
Een leverancier van beheersystemen voor watertanks laat een kritieke kwetsbaarheid, waardoor een aanvaller eenvoudig op afstand de instellingen kan aanpassen, ongemoeid. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
Het gaat om het TMS300 CS watertankbeheersysteem van Kingspan. Via dit systeem is het mogelijk om tot achttien watertanks te beheren. Het systeem, dat wereldwijd wordt gebruikt, is via een simkaart remote toegankelijk, maar kan ook op andere manieren worden aangesloten en gemonitord. Beveiligingsonderzoeker Maxim Rupp ontdekte dat het mogelijk is voor een aanvaller om zonder inloggegevens de instellingen van het systeem te bekijken en aan te passen. Hiervoor hoeft de aanvaller alleen een specifieke url te kennen.
Vanwege de eenvoud waarmee de kwetsbaarheid (CVE-2022-2757) is te misbruiken en de gevolgen die het kan hebben is de impact op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CISA waarschuwde Kingspan voor de kwetsbaarheid, maar volgens de Amerikaanse overheidsinstantie heeft het bedrijf geen reactie gegeven om het probleem te verhelpen. Bedrijven die van het systeem gebruikmaken wordt dan ook aangeraden om de toegang ertoe zoveel mogelijk te beperken, bijvoorbeeld door gebruik te maken van een vpn of firewall.
Zodat ze er zeker van kunnen zijn dat hun tanks lek zijn natuurlijk.
Uit de beschrijving van Kingspan op Wikipedia blijkt dat ze leveranciers waren van 5% van het isolatiemateriaal dat in de Grenfell tower was gebruikt, die in 2017 uitbrandde dankzij een brandbare buitenlaag. Ze wisten dat het materiaal het niet aan de brandveiligheidseisen voor dat doel voldeed en verkochten het toch. Een directeur vond dat consultants die zich zorgen maakten over de brandveiligheid konden "go fuck themselves" en hem verwarden met "someone who gives a dam [sic]". Voordat ze in de publieke verhoren aan de beurt waren hebben topmensen van het bedrijf aandelen verkocht, die in de loop van de verhoren 15% in waarde daalden, op tijd om die daling voor te zijn dus. Er staat niet dat ze ervoor vervolgd zijn, maar dat riekt naar handel met voorkennis en dat is strafbaar. Verder hebben ze een lastercampagne opgezet en lobbyisten ingehuurd om de indruk te verspreiden dat concurrerende producten ook niet aan de brandveiligheidseisen zouden voldoen.
https://en.wikipedia.org/wiki/Kingspan_Group#Grenfell_Tower_fire
Dat alles geeft een beeld van topmanagement dat totaal gewetenloos en zonder enig verantwoordelijkheidsbesef opereert. Het niet reageren op dit lek zou in dat licht wel eens geen kwestie kunnen zijn van een steekje laten vallen of nog even wakker geschud moeten worden maar van echt geen ene donder erom geven.
Voetnoot 10 op de gelinkte Wikipedia-pagina linkt naar een PDF met een overzicht van wat voor watertanks ze leveren. De pagina bevat ook een tabel met alle overnames die ze gedaan hebben.
Uit je bericht valt e.e.a af te leiden. Wat een ongehoord verhaal, zeg. Maar - helaas - heel herkenbaar..
Hoe kun je, zonder ene r33t uit te voeren, toch giga binnenlopen via kompleet immoreel te zijn *.
Jammer genoeg nog te vaak aan de orde binnen managementsteams en de commercie.
Een schande voor de vaak onderbetaalde aapjes, die het werk voor deze netwerkende schurken moeten doen.
* Dit is een subsoort mens, die er bij psycho-analytische tests helaas niet of zelden uitkomt,
niet gecatalogiseerd staat, namelijk de empathieloze Draco-figuur.
Helaas komt men dergelijke "onmenselijke" mensen in de (aller)hoogste kringen tegen.
Er bestaan dus meerdere soorten mensen.
Echte bezielde mensen naast een subsoort, die meer als groepswezen functioneert.
En dan ook nog de voornoemde sch**t aan alles hebbende categorie,
die vaak een psychopatische stoornis vertonen. Zij gaan immers letterlijk (bijkans) over lijken.
Helaas aan de buitenkant is niet te zien "wat er in zit of wat er aan ontbreekt";).
Zodat je niet direct weet met welk soort je te maken hebt.
Maar aardige, hardwerkende en gewoon fijne mensen zijn er gelukkig ook nog genoeg.
Laten we daar vooral heel zuinig op zijn.
#obserwator
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
