image

Microsoft meldt toename van aanvallen op OT-systemen drinkwaterbedrijven

vrijdag 31 mei 2024, 10:04 door Redactie, 13 reacties

Microsoft meldt een toename van aanvallen op slecht beveiligde OT (operationele technologie) systemen van drinkwaterbedrijven. Eerder lieten de Amerikaanse autoriteiten weten dat bij verschillende drinkwaterbedrijven systemen werden gecompromitteerd die van het standaardwachtwoord '1111' gebruikmaakten. Ook Microsoft stelt dat dit het geval is. Waarbij aanvallers naar OT-systemen zoeken die vanaf het internet toegankelijk en slecht beveiligd zijn.

Vorig jaar publiceerde Microsoft eigen onderzoek waaruit blijkt dat 78 procent van de industriële netwerkapparaten die het bij klanten monitort, bekende kwetsbaarheden bevatten. Zo draait 46 procent end-of-life firmware en 32 procent draait kwetsbare software waarvoor patches beschikbaar zijn. De apparaten die wel up-to-date zijn blijken vaak standaard of helemaal geen wachtwoorden te gebruiken.

Microsoft adviseert bedrijven om te controleren dat OT-systemen niet direct vanaf het internet toegankelijk zijn. Verder moeten onnodige poorten en services worden gesloten en remote access waar mogelijk volledig worden verwijderd. Wanneer dit niet haalbaar is, moet er gebruik worden gemaakt van firewalls en vpn's.

Image

Reacties (13)
31-05-2024, 10:57 door Anoniem
Niet te geloven dit. Poetin lacht zich een kriek bij zoveel lamlendigheid in ons “ontwikkelde” westen. We maken onszelf onnodig kwetsbaar en een kansloos slachtoffer van kwaadaardige regimes.
31-05-2024, 11:09 door Anoniem
Door Anoniem: Niet te geloven dit. Poetin lacht zich een kriek bij zoveel lamlendigheid in ons “ontwikkelde” westen. We maken onszelf onnodig kwetsbaar en een kansloos slachtoffer van kwaadaardige regimes.

Los even van poetin, is OT domein interessant wegens dat veel bedrijven nog steeds niet monitoren
31-05-2024, 11:13 door Anoniem
Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.
31-05-2024, 11:27 door Anoniem
De vraag is inderdaad... "Waarom hangen deze systemen (al dan niet) direct aan het Internet"?
31-05-2024, 16:30 door Anoniem
Door Anoniem: Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.
Het gaat niet om NL, maar om enkele van de meer dan 40000 duizend Amerikaanse drinkwaterbedrijven. De meeste zijn heel klein, hebben maar tientallen tot honderden klanten ergens, en maar een paar werknemers, en that's it. Begrijpelijk dat ICT en cybersecurity daar niet de hoogste prioriteit hebben, laat staan dat ze al weten dat het bestaat. Gelukkig in NL is de situatie wel wat beter (zelfs bij Waternet, waar de IT een fiasco is, maar in de OT-hoek bepaald niet!)
31-05-2024, 17:15 door Tintin and Milou
Door Anoniem: Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.
Je kunt inderdaad beter iets kiezen, waarop je applicaties niet draaien, want daar heb je veel meer aan.

Daarnaast zie ik niet dat de VisiLogic PLC controllers op windows draaien, maar zo te zien een specifiek OS. Mijn eerste reactie zou dan zijn, iets van Linux.
We hebben het dus zo te zien een linux achtig OS, met een default password.

Ofwel we kunnen jouw reactie eigenlijk direct ontslaan van enig nut?

Maar, even inhoudelijk, als men hun standaard wachtwoord niet veranderd in hun internet facing applicatie, dan maakt het OS natuurlijk helemaal niet meer uit.


Door Anoniem: De vraag is inderdaad... "Waarom hangen deze systemen (al dan niet) direct aan het Internet"?

Iets met Apps, die je dan gemakkelijk over kunt gebruiken?

https://play.google.com/store/apps/details?id=com.unitronics.remoteoperator&hl=en
https://apps.apple.com/il/app/unitronics-remote-operator/id1063107386
31-05-2024, 19:31 door Anoniem
Als je ICS/OT omgeving van buiten af aangevallen kan worden heb je iets niet goed begrepen. Ik kom er ook nog regelmatig tegen die de hele zooi aan het Internet hebben hangen omdat het zo gemakkelijk op afstand te beheren is. Totdat ze ongenode gasten krijgen.
31-05-2024, 21:39 door Anoniem
Het bijzondere is dat deze netwerken vroeger mooi gescheiden waren. Tot iemand bedacht dat modbus ook prima over ip kon (jaren '90?) en vervolgens iemand pre-ransomware en pre-phishing dacht dat kantoor en OT prima over dezelfde IP-pijp konden. En met de lifecycle van systemen in de OT-wereld zitten we daar nu nog steeds aan vast. Helaas met vage linux met standaardwachtwoorden en Windows Embedded. Gelukkig wijst Microsoft ons er nu op dat ze nu ook SIEM/SOAR en XDR aanbieden. Vooral geen root cause wegwerken, stel je voor dat je winstmaximalisatie in het geding komt.
01-06-2024, 00:51 door Anoniem
Door Anoniem: Het bijzondere is dat deze netwerken vroeger mooi gescheiden waren. Tot iemand bedacht dat modbus ook prima over ip kon (jaren '90?) en vervolgens iemand pre-ransomware en pre-phishing dacht dat kantoor en OT prima over dezelfde IP-pijp konden. En met de lifecycle van systemen in de OT-wereld zitten we daar nu nog steeds aan vast. Helaas met vage linux met standaardwachtwoorden en Windows Embedded. Gelukkig wijst Microsoft ons er nu op dat ze nu ook SIEM/SOAR en XDR aanbieden. Vooral geen root cause wegwerken, stel je voor dat je winstmaximalisatie in het geding komt.
Prachtige samenvatting, de cloud is ontwikkeld als oplossing voor dit probleem. Next.
01-06-2024, 08:33 door Anoniem
OT heeft het altijd over niet kunnen patchen want bedrijfsprocessen en hoog kritisch etc.
Maar bij IT hebben we daar allang antwoorden op, denk aan HA clusters.
Wordt het niet eens tijd dat OT de spreekwoordelijke kop uit het zand trekt en haar verantwoordelijkheid pakt?
Niet patchen en hopen op volledige netwerk segmentatie lijkt vooralsnog meestal fout te gaan.
In praktijk worden security analyses ook puur binnen het IT domein gehouden, terwijl een boef die restricties niet heeft.

Functionaliteit over alles inclusief security is niet meer van deze tijd.
01-06-2024, 19:01 door Anoniem
Door Anoniem: Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.

Ja want het is een goed idee om een wachtpolicy in het leven te roepen. Stel het gaat gigantisch mis in een installatie en je wil het direct stoppen. Dan wil je kunnen ingrijpen, bewustwordingscode 1111 invoeren, en ingrijpen.

Stel dat je nu wil ingrijpen en een leuke it-er heeft de wachtwoord policy ingesteld op het wijzigen van het wachtwoord, ieder 42 dagen een nieuw wachtwoord en mag niet overeen komen met de vorige en 12 tekens lang.
Misschien is het dan niet goed om een wachtwoord te vragen.

Een wachtwoord in de OT is geen wachtwoord, maar een bewustwording.

Security hangt aan elkaar met fysieke beveiliging, of remote met vpn. De "wachtwoorden van de plc maken vaak niets uit, als je tot dat level bent gekomen zit je al te diep in het systeem.
02-06-2024, 18:24 door Anoniem
Door Anoniem: Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.
En t management dat geen audits doet...
02-06-2024, 18:27 door Anoniem
Door Anoniem:
Door Anoniem: Dat er drinkwaterbedrijven zijn die standaardiseren op windows is een drama op zich natuurlijk en dan ook nog devices in het netwerk hebben met het wachtwoord 1111. Direct ontslaan die ict gasten.

Ja want het is een goed idee om een wachtpolicy in het leven te roepen. Stel het gaat gigantisch mis in een installatie en je wil het direct stoppen. Dan wil je kunnen ingrijpen, bewustwordingscode 1111 invoeren, en ingrijpen.

Stel dat je nu wil ingrijpen en een leuke it-er heeft de wachtwoord policy ingesteld op het wijzigen van het wachtwoord, ieder 42 dagen een nieuw wachtwoord en mag niet overeen komen met de vorige en 12 tekens lang.
Misschien is het dan niet goed om een wachtwoord te vragen.

Een wachtwoord in de OT is geen wachtwoord, maar een bewustwording.

Security hangt aan elkaar met fysieke beveiliging, of remote met vpn. De "wachtwoorden van de plc maken vaak niets uit, als je tot dat level bent gekomen zit je al te diep in het systeem.

Als toegang vereist is een vpn met centraal punt, of access on site niet vanuit het hele inyernet.
Toegang tot en bediening van een object zijn twee verschillende zaken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.