Energiecentrales, de watervoorziening en andere belangrijke onderdelen van de infrastructuur lopen risico om gehackt te worden, nu een exploit voor een eerder ontdekt beveiligingslek aan hackertoolkit Metasploit is toegevoegd. De kwetsbaarheid in CitectSCADA, software voor het besturen van Supervisory Control And Data Acquisition (SCADA) systemen die voor veel kritieke infrastructuur en industrieën gebruikt wordt, laat een aanvaller het systeem overnemen.

Nu zouden SCADA-systemen niet op het internet aangesloten moeten zijn, de praktijk wijst anders uit. Door lakse beveiligingsmaatregelen kan men bijvoorbeeld de SCADA-systemen aansluiten op routers waar weer computers op zijn aangesloten die verbinding met het internet hebben. Volgens experts geeft het beveiligingslek aan dat het mogelijk is voor hackers of andere aanvallers om de stroomvoorziening van complete steden uit te schakelen, de watervoorziening te vergiftigen of een kernreactor uit te zetten.

Iedereen kwetsbaar
In juni waarschuwde fabrikant Citect en het Amerikaanse Computer Emergency Response Team voor de kwetsbaarheid. Beveiligingsonderzoeker Kevin Finisterre besloot de exploitcode te verspreiden vanwege conflicterende uitspraken van Citect over de ernst van het lek. De advisory zou namelijk niet de indruk wekken dat er een probleem is.

"Citect gelooft dat het lek alleen bedrijven treft die ODBC technologie gebruiken en direct met het internet verbonden zijn, zonder enige vorm van beveiliging. Iets wat in de hedendaagse bedrijfsomgeving zeer onwaarschijnlijk zou zijn." Door het sturen van een geprepareerd pakket zou een aanvaller het systeem over kunnen nemen. De exploit van Finisterre zou echter voor alle platformen zijn om te bouwen. "Iedereen is te hacken, niet alleen de gasten die de moderne spullen gebruiken. Met een beetje werk is er een robuuste exploit voor elk platform en versie te maken."