VS waarschuwt voor standaard wachtwoord '1111' industriële controlesystemen
De Amerikaanse overheid waarschuwt voor actief misbruik van het standaard wachtwoord '1111' dat industriële controlesystemen van fabrikant Unitronics gebruiken. Amerikaanse federale overheidsorganisaties die van de systemen gebruikmaken hebben een week de tijd gekregen om alle standaard wachtwoorden van de programmable logic controllers (PLC's) en human machine interfaces (HMI's) van Unitronics Vision-apparaten te wijzigen.
De afgelopen weken hebben er meerdere aanvallen op waterschappen in de VS plaatsgevonden waarbij aanvallers via het standaard wachtwoord toegang tot de PLC's kregen. De PLC's en gerelateerde controllers zijn vanwege de controle- en monitoringsfunctionaliteit vaak vanaf het internet toegankelijk. Bij de aanvallen richten de aanvallers zich op de gebruikersinterface. Zodra de aanvallers toegang tot een PLC hebben laten ze een boodschap op het scherm van het apparaat zien. Hierdoor kan het apparaat ook stoppen met werken.
Vorige week is er ook een CVE-nummer voor de kwetsbaarheid uitgegeven, namelijk CVE-2023-6448. Via het standaard wachtwoord kan een ongeauthenticeerde aanvaller, die toegang tot de PLC of HMI heeft, beheerderscontrole over het systeem krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en kan federale instanties opdragen updates voor een bepaalde datum te installeren. CVE-2023-6448 is nu ook op de lijst verschenen, waarbij instanties een week de tijd hebben gekregen om tot actie over te gaan.
Ze kunnen een voorbeeld aan Nederland nemen, hier zijn best veel IT zaken gewoon goed geregeld. Wij doen bijvoorbeeld wekelijkse kwetsbaarheden scans, hardenen alle netwerken, wachtwoorden van minimaal 24 karakters en zo kan ik nog even doorgaan.. dit is tegenwoordig toch gewoon meer dan normaal?
Je snapt toch zelf wel dat je een PLC met standaard wachtwoord 1111 niet op internet moet aansluiten?
Hoe dom kan iemand zijn?
het wordt pas een probleem wanneer je jan-en-alleman op dat netwerk zet...
denk aan leverancier-VPNetjes, kantoorautomatisering meuk, gebouwenbeheersystemen, camera systemen, het internet...
Allereerst moet alle industriele automatisering wat nooit bedoeld is voor secure computing in een netwerk zitten wat niet gerouteerd kan worden. De meeste meuk KAN niet eens lekker werken als het moet routeren, ik ken zelfs apparatuur wat al over z'n nek gaat als je het pingt.. of nog erger, dat denkt dat je het wilt gaan configureren als je het pingt...
Dus of niet een routeerbaar netwerk, of voor de jammerlijken onder ons die geen keuze hebben, in een gescheiden omgeving door een IA bewuste firewall waarbij KA (Kantoor Automatisering) zoals monitoring, rapportages enz gescheiden zijn van de IA (Industriele Automatisering) of voor de mensen die in een OUD netwerk zitten waar KA en IA al jarenlang gevlochten zijn (bijvoorbeeld omdat de IA applicaties alleen 'goed' kunnen babbelen op hetzelfde vlan en een firewall ertussen de boel al breekt), dan moet je dus de KA en IA samen isoleren (steppingstone/VDI enz)
Wanneer dan een scriptkiddy het zo ver geschopt heeft dat het door je Windows NT 3.51 server met open RDP is gekomen, dan nog zou die niet bij de IA moeten kunnen komen.
het wordt pas een probleem wanneer je jan-en-alleman op dat netwerk zet...
Mijn servers zijn alleen bereikbaar via SSH met keys. Die keys zijn beveiligd met een wachtwoord. En de firewall op de servers laat alleen bepaalde IP's door op de SSH-poort.
het wordt pas een probleem wanneer je jan-en-alleman op dat netwerk zet...
denk aan leverancier-VPNetjes, kantoorautomatisering meuk, gebouwenbeheersystemen, camera systemen, het internet...
Of toegang weet te krijgen, al dan niet fysiek.
Wanneer dan een scriptkiddy het zo ver geschopt heeft dat het door je Windows NT 3.51 server met open RDP is gekomen, dan nog zou die niet bij de IA moeten kunnen komen.
Spannend, NT 3.51 had geen RDP dus dat zou best een mooie zijn.
Je vergeet je te verdiepen in hoe ze meestal netwerken binnen komen.
Windows omgevingen door de gebruikers (fout linkje klikken etc)
Linux omgevingen door software fouten. Dat kan een dom IoT ding zijn of een lekke webserver.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
