image

Industriële controlesystemen waterschappen VS gekaapt via wachtwoord 1111

zaterdag 2 december 2023, 08:44 door Redactie, 23 reacties

Aanvallers zijn erin geslaagd om industriële controlesystemen van Amerikaanse waterschappen en andere sectoren door middel van het standaardwachtwoord '1111' te compromitteren, zo hebben de FBI, Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) bekendgemaakt. Organisaties worden dan ook opgeroepen het standaardwachtwoord te wijzigen.

De aanvallen zijn gericht tegen programmable logic controller (PLC's) van fabrikant Unitronics. Waterschappen gebruiken plc's om verschillende fases van de water- en rioolzuivering te beheren en monitoren, waaronder het in- en uitschakelen van pompen van een pompstation, het vullen van tanks en reservoirs, het toevoegen van chemicaliën, verzamelen van gegevens voor toezichtsrapporten en het waarschuwen voor kritieke situaties.

De plc's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk. Bij de aanvallen richten de aanvallers zich op de gebruikersinterface. Zodra de aanvallers toegang tot een plc hebben laten ze een boodschap op het scherm van het apparaat zien. Hierdoor kan het apparaat ook stoppen met werken.

Daarnaast kan de toegang tot de plc voor verdere toegang en aanvallen worden gebruikt, die grotere fysieke gevolgen voor processen en apparatuur kunnen hebben, aldus de Amerikaanse overheidsdiensten. Naast waterschappen worden de Unitronics plc's ook in andere vitale sectoren gebruikt, zoals energie, voeding, productie en gezondheidszorg.

Daar komt bij dat de apparaten ook onder andere namen en merken kunnen worden aangeboden.De Amerikaanse diensten stellen dat organisaties in meerdere Amerikaanse staten inmiddels slachtoffer zijn geworden. Naast het wijzigen van het standaardwachtwoord worden organisaties in vitale sectoren ook opgeroepen de plc's van het publieke internet los te koppelen.

Reacties (23)
02-12-2023, 08:58 door Anoniem
Echt?
02-12-2023, 09:29 door Anoniem
De plc's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk.
En dat is dus het probleem. Die dingen zijn helemaal niet bedoeld om aan de grote boze wereld van het internet te hangen. Beveiliging is een klus op zich, daar zijn ze helemaal niet goed in.

Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...
02-12-2023, 10:31 door Anoniem
Goh...
Aan de andere kant; ik heb een NDA getekend dus...... eigen schuld
02-12-2023, 11:28 door Anoniem
Lekker stom natuurlijk, maar zeker ook van de fabrikant van die PLC's. Gelukkig komt bij ons de Cyber Resilience Act (CRA) eraan. Het is echt geen raketwetenschap om zo een controller veiliger te maken, en maakt het kastje niet of nauwelijks duurder. Ze allemaal van updates voorzien, of in het ergste geval allemaal terug moeten nemen en vervangen voor een betere wèl. De aanbeveling om deze PLC's van internet los te koppelen maakt wel erg duidelijk dat er ondeugdelijke spullen zijn geleverd. Zulke complexen met tanks, reservoirs en zo zijn nogal groot. Met een zaklamp helemaal onder een enorme rioolzuiveringsinstallatie moeten kruipen om een pomp aan of uit te zetten is niet enkel onhandig, maar brengt weer andere risico's met zich mee. Terwijl het anderzijds natuurlijk niet echt prettig is, dat als je een bakkie thee zet, er ineens pure bleekmiddel uit de kraan blijkt te komen. Omdat er ergens een grapjas met een PLC heeft zitten spelen.
02-12-2023, 14:26 door Anoniem
Door Anoniem:
De plc's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk.
En dat is dus het probleem. Die dingen zijn helemaal niet bedoeld om aan de grote boze wereld van het internet te hangen. Beveiliging is een klus op zich, daar zijn ze helemaal niet goed in.

Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...

Altijd weer van die betweterige IT nerds die het aan de managers wijten.

Inderdaad - de controllers zijn ongeschikt hun om hun eigen broek op te houden qua login/security .

Maar het is geen 'manager' die die internet kabel eraan hangt. Het is geen manager die er een PC Anywhere voor hangt.
Het is geen 'manager' die auto updates uit zet op de gateway/pc anywhere/terminal.

Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.

Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.
02-12-2023, 15:57 door Anoniem
Door Anoniem:
Door Anoniem:
De plc's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk.
En dat is dus het probleem. Die dingen zijn helemaal niet bedoeld om aan de grote boze wereld van het internet te hangen. Beveiliging is een klus op zich, daar zijn ze helemaal niet goed in.

Conclusie: hang ze niet aan een netwerk wat van buiten af toegankelijk is. Moeilijker is het niet. Maar ja, die managers he...

Altijd weer van die betweterige IT nerds die het aan de managers wijten.

Inderdaad - de controllers zijn ongeschikt hun om hun eigen broek op te houden qua login/security .

Maar het is geen 'manager' die die internet kabel eraan hangt. Het is geen manager die er een PC Anywhere voor hangt.
Het is geen 'manager' die auto updates uit zet op de gateway/pc anywhere/terminal.

Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.

Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.

Exact!
02-12-2023, 17:23 door Anoniem
Door Anoniem: Echt?
Na de 9998-ste poging is het de aanvallers gelukt!
02-12-2023, 18:26 door Anoniem
Installatievoorschriften geven aan:
1. sluit de spanning aan
2. sluit netwerkabel aan
3. installeer app
4. zoek "te bedienen apparaat", vervang naam "apparaat" door je eigen naam
5. veel succes verder ....


Username / password Veere/Veere, Almelo/Almelo of 1111/1111 ...

Wie vroeg er om "Veilige" bediening?
02-12-2023, 18:40 door linuxpro
Hang die rommel achter een VPN en je bent al aardig op weg om (directe) toegang te verhinderen... zo moeilijk is dat niet.. desnoods hang je een rapsberry pi naast die plc...
02-12-2023, 19:25 door Anoniem
Door Anoniem:
Door Anoniem: Echt?
Na de 9998-ste poging is het de aanvallers gelukt!

Tja, zo’n simpel wachtwoord, dat verwacht je toch niet?
02-12-2023, 20:23 door Anoniem
Door linuxpro: Hang die rommel achter een VPN en je bent al aardig op weg om (directe) toegang te verhinderen... zo moeilijk is dat niet.. desnoods hang je een rapsberry pi naast die plc...
Ja maar....dan moet je die lui eerst uitleggen wat een raspberry pi is.!
03-12-2023, 10:17 door Anoniem
Het gaat niet om het feit dat het ww. 1111 is. Dat is de authenticatie van de plc. Het gaat om de toegang naar de plc. Die lijkt in de beschreven situatie totaal niet aanwezig. Dáár gaat het hier mis.
Plc’s zijn niet ontworpen voor geavanceerde toegang. Die zet je hiervóór.
En als de tijd verstrijkt en de toegangsbeveiliging is onvoldoende, dan vervang je de beveiliging.Niet de plc.
Tja, onvoorstelbaar dat dit vandaag de dag nog zo gebeurd.
03-12-2023, 13:01 door Anoniem
Dat is mijn pincode!!! :-(
03-12-2023, 16:17 door Anoniem
Door Anoniem: Dat is mijn pincode!!! :-(

0032 mop : 'allemaal énen, maar ik zeg niet in welke volgorde !'
04-12-2023, 09:44 door Anoniem
Ik weet nog een andere fabrikant die ook een hele makkelijke wachtwoord default heeft. Ik heb ze niet kunnen overtuigen dat het default gewoon moeilijk moet zijn. (en niet elke installatie hetzeflde)
04-12-2023, 10:41 door Anoniem
gevalletje eigen schuld dikke bult.... man man man. vraag 1, waarom hangen die dingen aan het internet? antwoord zal vast zijn omdat management inzage wilt hebben in stats... vraag 2, waarom zo'n ww/pincode.... ?
04-12-2023, 10:55 door Anoniem
Dit gaat hierbij hopelijk helpen https://www.security.nl/posting/820048/VS+verzoekt+softwareontwikkelaars+om+webinterfaces+standaard+uit+te+schakelen
04-12-2023, 13:18 door Chase - Bijgewerkt: 04-12-2023, 13:21
Door Anoniem: gevalletje eigen schuld dikke bult.... man man man. vraag 1, waarom hangen die dingen aan het internet? antwoord zal vast zijn omdat management inzage wilt hebben in stats... vraag 2, waarom zo'n ww/pincode.... ?

En als je dan een echte professional bent, dan richt je het systeem zo in dat ze stats kunnen krijgen op een veilige manier. En als ze de kosten voor die veiligere opzet niet willen dragen, dan laat je ze tekenen voor het risico dat ze willens en wetens lopen. Dan worden stats ineens minder belangrijk, of komt er extra budget beschikbaar.

Maar vooral het management de schuld blijven geven...Management vraagt vaak om oplossingen die niet per definitie heel veilig zijn, dat klopt. Maar die onveilige zaken komen in de wereld omdat de professionals die beter zouden moeten weten het mogelijk voor ze maakt om dergelijke dingen te doen.

Wanneer steekt de professional eens een keer de hand in eigen boezem?
04-12-2023, 17:46 door Anoniem


Nee makker, "we" hebben echt collega's die ongeschikt zijn voor hun vak .
Als je het beter weet - moet je ook de ruggegraat hebben om tegen je manager te zeggen hoe het gebouwd gaat worden , wanneer het klaar is, en wat voor budget opgenomen moet worden.

Alleen maar betweten bij je IT vriendjes win je de oorlog niet mee.

Exact![/quote]
Het hogere management is wel degelijk verantwoordelijk voor het niet (naar behoren) inrichten van de benodigde goverance processen op security gebied. Het feit dat systemen worden geinstalleerd terwijl er wel degelijk security kwaliteitsraamwerken zijn voor OT / PLC apparatuur die duidelijk niet worden toegepast is een falen van het management! Zij behoren te weten dat er beschermingsmaateregelen nodig zijn in dergelijke omgevingen.Dat is een kwestie van bestuursverantwoordelijkheid!

Zij moeten de correcte uitvoering van (IT) beschermingsprocessen (laten) controleren zodat KRITIEKE drinkwater infrastructuur, die bij een hack kan leiden tot duizenden slachtoffers als er giftige troep uit de kraan komt, afdoende beschermd en bewaakt wordt. In de meeste gevalen is dat ook zo fysiek ingeregeld dat men dat op de centrale locatie weet te voorkomen. Helaas zijn er vaak nog andere situaties waar ik niet verder op in ga.

Managers en bestuurders zijn verantwoordelijk voor het met kennis (laten) inrichten en onderhouden van kritieke infrastructuur. En als de beleidsmakers dit verzuimen te controleren op opzet, bestaan(!) en werking(!) zijn ze domweg aansprakelijk. Je kunt bepaalde risico's niet neerleggen op operationeel niveau. En zo redeneert de wetgever gelukkig ook niet. Maar inderdaad kwamen er nog teveel managers weg met malafide praktijken. Daar is met NIS2 straks. als die tenmoinste goed ten uitvoer wordt gebracht, een einde aan. Managers zijn namelijk zelfs na vertrek nog aansprakelijk voor de puinhopen die ze achter hebben gelaten!
04-12-2023, 17:50 door Anoniem
Door Chase:
Door Anoniem: gevalletje eigen schuld dikke bult.... man man man. vraag 1, waarom hangen die dingen aan het internet? antwoord zal vast zijn omdat management inzage wilt hebben in stats... vraag 2, waarom zo'n ww/pincode.... ?

En als je dan een echte professional bent, dan richt je het systeem zo in dat ze stats kunnen krijgen op een veilige manier. En als ze de kosten voor die veiligere opzet niet willen dragen, dan laat je ze tekenen voor het risico dat ze willens en wetens lopen. Dan worden stats ineens minder belangrijk, of komt er extra budget beschikbaar.

Maar vooral het management de schuld blijven geven...Management vraagt vaak om oplossingen die niet per definitie heel veilig zijn, dat klopt. Maar die onveilige zaken komen in de wereld omdat de professionals die beter zouden moeten weten het mogelijk voor ze maakt om dergelijke dingen te doen.

Wanneer steekt de professional eens een keer de hand in eigen boezem?

Wie zegt dat een IT-er dit heeft ingericht. Kan zo maar zijn gedaan door een knechtje van de electricien... Allemaal aannames... En niemand in het management die blijkbaar controle processen heeft ingericht om te voorkomen dat het zo dom ingericht kon worden... Doe goedkoopste aannemer kreeg de klus toch? Tja die werkte niet met echte professionals. Maar dat boeide toch niet!!!
04-12-2023, 18:01 door Anoniem
Door Anoniem: gevalletje eigen schuld dikke bult.... man man man. vraag 1, waarom hangen die dingen aan het internet? antwoord zal vast zijn omdat management inzage wilt hebben in stats... vraag 2, waarom zo'n ww/pincode.... ?

Ach ja, want het werkvolk staat te springen om over besneeuwde wegen naar een onbemand pompstation te toeren om even op een knop te drukken of de meterstanden op een clipboard te schrijven.
Maar het is alleen maar 'management' die dingen op afstand wil.

Wij IT professionals willen ook niks doen op afstand, we racen graag lekker in de nacht (of in de avondspits) naar een datacenter om in de koude (of te warme) kurkdroge lucht met een takke herrie even op een knop te drukken .
Altijd maar weer management dat ons verplicht om OOB/drac/ilo en remote power switches erbij te hangen.

Het zal vast ook een manager geweest zijn die zo'n IT professional een geschreven dienstopdracht gaf om de pincode op '1111' in te stellen ondanks alle protesten van die ITer . Vast.

Man man man, wat een stel Calimero's zit er toch in mijn vak.

Natuurlijk was er een hoop mis bij dat pompstation - maar dat ligt echt niet allemaal aan 'management'.
(Zoals ik eerder, en ook Chase 13:21 schreven).
05-12-2023, 08:38 door Sonic Senior
Ik vraag me af hoe het gesteld is met de beveiliging van de waterzuiveringsinstallaties bij ons in Nederland. Elke dag drinken we water uit de kraan ervan uitgaande dat de IT en OT omveging bij een waterzuiveringsinstallatie veilig is.
05-12-2023, 10:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Echt?
Na de 9998-ste poging is het de aanvallers gelukt!

Tja, zo’n simpel wachtwoord, dat verwacht je toch niet?
routers met ww adminb1234...bij miljoenen wereldwijd verspeid, veelal via TR-069 beheerbaar makkelijk voor de ISP
Zyxel anyone?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.