image

VS meldt aanvallen op waterbedrijven via standaard wachtwoorden

donderdag 26 september 2024, 09:33 door Redactie, 6 reacties

Amerikaanse drinkwater- en rioolwaterzuiveringsbedrijven zijn het doelwit van aanvallen waarbij gebruik wordt gemaakt van standaard wachtwoorden, bruteforce-aanvallen en andere 'ongeraffineerde methodes', aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. De overheidsdienst spreekt over 'active exploitation' van operationele technologie (OT) en industriële controlesystemen (ICS) die vanaf het internet toegankelijk zijn, waarbij specifiek waterbedrijven worden genoemd.

De afgelopen maanden werden meerdere waterbedrijven in de VS aangevallen doordat het standaard wachtwoord '1111' van Unitronics Vision-apparaten werd gebruikt. Het gaat specifiek om programmable logic controllers (PLC's) en human machine interfaces (HMI's) van Unitronics Vision-apparaten die een belangrijke rol spelen in de operaties van de drinkwaterbedrijven. Een aantal dagen geleden moest een Amerikaans waterzuiveringsbedrijf wegens een cyberincident, dat veel kenmerken van een ransomware-aanval heeft, terugvallen op handmatige bediening.

Het CISA roept waterbedrijven en andere OT/ICS-beheerders in de vitale sector op beveiligingsmaatregelen te nemen, zoals het loskoppelen van HMI's en PLC's van het internet, het implementeren van multifactorauthenticatie voor toegang tot OT-netwerken, het aanpassen van standaard en zwakke wachtwoorden, up-to-date houden van VNC, het loggen van remote logins op HMI's en het gebruik van een lijst met toegestane ip-adressen. Fabrikanten van OT-systemen worden door de Amerikaanse overheid opgeroepen om geen standaard wachtwoorden voor hun apparatuur te gebruiken en sterke wachtwoorden van gebruikers te eisen.

Reacties (6)
26-09-2024, 10:27 door Anoniem
1111.... Och och, dadelijk komt het CISA óók nog met het hemeltergende bericht dat dit hardcoded is, want je zou echt gaan denken dat het nog idioter kan zijn, dan het al is.
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??
26-09-2024, 10:48 door Anoniem
Door Anoniem: 1111.... Och och, dadelijk komt het CISA óók nog met het hemeltergende bericht dat dit hardcoded is, want je zou echt gaan denken dat het nog idioter kan zijn, dan het al is.
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??

Extreem zwak beheer. Je ziet het overal terug, niet alleen bij dit soort bedrijven. Maar wel alles aan internet hangen, "want we kunnen niet anders". De middelmaat regeert, ook in de VS. Ik heb vroeger gewerkt bij een Nederlandse drinkwateraanbieder. Het was toen geen haar beter. Hopelijk is sindsdien het nodige veranderd.
26-09-2024, 11:16 door Bitje-scheef
Het is soms beschamend om te zien hoe slecht IOT en ook PLC systemen zijn beveiligd door de fabrikanten zelf.

Het CISA roept waterbedrijven en andere OT/ICS-beheerders in de vitale sector op beveiligingsmaatregelen te nemen, zoals het loskoppelen van HMI's en PLC's van het internet, het implementeren van multifactorauthenticatie voor toegang tot OT-netwerken, het aanpassen van standaard en zwakke wachtwoorden, up-to-date houden van VNC, het loggen van remote logins op HMI's en het gebruik van een lijst met toegestane ip-adressen. Fabrikanten van OT-systemen worden door de Amerikaanse overheid opgeroepen om geen standaard wachtwoorden voor hun apparatuur te gebruiken en sterke wachtwoorden van gebruikers te eisen.
26-09-2024, 11:19 door Anoniem
Ik dacht dat ze hun paswoord naar "paswoord" hadden veranderd, maar dan was ik vergeten dat het Amerikanen zijn, die kunnen niet spellen, en ook niet tot vier tellen, dus werd het in plaats van "1234" maar "1111"
Uiteraard hebben Amerikanen ook geen geheugen, anders hadden ze geleerd van de vorige voorvallen...
26-09-2024, 17:23 door Anoniem
Ugh, de PLC die m'n pelletbrander (verwarming) aanstuurt heeft ook een "geheim" admin menu, waar je het briljante 1111 wachtwoord moet invullen; dat is verder niet te veranderen... Gelukkig heeft dat ding geen enkele connectivity, maar alsnog...

De zonnepaneelinstallateur heeft ook een standaardwachtwoord wat ze voor alle inverters en accusystemen gebruiken (en die hangen uiteraard wel aan internet). Die gasten vonden het niet grappig dat ik eiste om zelf een wachtwoord in te vullen omdat ik hun "<Bedrijfsnaam>123!" wachtwoord ziekelijk slecht vond; toen ik zei dat ze dan de hele zooi maar weer mee mochten nemen omdat dat niet ging gebeuren, "mocht" ik uiteindelijk zelf een wachtwoord invullen. Eikels...
26-09-2024, 19:24 door Anoniem
Door Anoniem: 1111.... Och och, dadelijk komt het CISA óók nog met het hemeltergende bericht dat dit hardcoded is, want je zou echt gaan denken dat het nog idioter kan zijn, dan het al is.
Het is ronduit schandalig! want Ik snap niet waarom fabrikanten van dergelijk intens belangrijke apparatuur de verantwoordelijkheid missen om na initiële invoer van zo'n simpel wachtwoord, in weer een ander invoerveld te eisen dat het wachtwoord in ieder geval wordt veranderd in een wachtwoord met minimaal 16 tekens. Zo moeilijk is dat toch niet te programmeren voor een IT specialist of klets ik nu maar wat uit mijn nek??

Ja, je klets vermoedelijk uit je nek.

Afhankelijk van hoe oud/brak/klein/beperkt zo'n apparaat is, _is_ het erg veel werk om een moderne stijl "u moet het wachtwoord veranderen" interface er óók nog bij te bouwen - op dat kleine CPUtje met minimaal ram en een erg volle firmware eprom.

De tweede manier waarop je behoorlijk uit je nek kletst : ontzettend weinig apparaten zijn bedoeld voor, en geschikt om direct te 'dealen' met vijandige gebruikers of vijandig verkeer.

Afgezien van een behoorlijk wachtwoord heb je dan onzettend veel meer nodig : een erg hardened interface (liefst "zonder bugs") die tegen alle mogelijke rare crafted input kan , logging/audits van eindeloze pogingen in te loggen, blacklisten / lockout van IPs die te vaak proberen in te loggen, role based accounts etc etc etc.

Al die commentatoren die het zoveel beter weten en vinden dat zo'n controllertje "een goed wachtwoord" moet kunnen hebben vinden het blijkbaar een goed design DAT het controllertje de plaats is waar "de wereld" op probeert los te gaan.

Is het je opgevallen dat het slot op je slaapkamer deur (en de deur zelf) niet zo geweldig is ?
En vind je dan dat daar een driepuntssluiting, SKG *** op moet , anti-inbraakstrip, massief stalen plaat ?

Of zeg je "dat slot is ook alleen maar om even niet gestoord te worden, de echte beveiliging tegen de _boze_ buitenwereld zit op de voordeur"

Al dat embedded IOT spul moet je achter een serieuze firewall/remote access server hangen o.i.d. en niet meer van verwachten dan een paar accounts voor junior of senior operators.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.