Nieuws
image

Siemens laat Stuxnet-lek al 571 dagen ongemoeid

maandag 9 april 2012, 11:57 door Redactie, 9 reacties

De kwetsbaarheid waardoor de Stuxnetworm een Iraanse uraniumverrijkingscentrale wist te infecteren is nog altijd niet gepatcht. "Het is verbijsterend en een falen van de ICS-gemeenschap dat er 571 dagen gepasseerd zijn sinds Ralph Langner de PLC-aanval van Stuxnet openbaarde en er nog zo goed als niets aan de beveiligingsproblemen is gedaan", aldus Dale Peterson, CEO van Digital Bond. Op het bedrijfsblog laat hij weten dat het uitvoeren van Stuxnet-achtige aanvallen eenvoudig is.

"We besloten dat de modicon_stux_transfer module nodig was om te laten zien dat het kinderspel is om de kwaadaardige ladder-logica op de meeste PLC's te installeren", gaat Bond verder. Een ontwikkelaar van Digital Bond was minder dan acht uur kwijt om informatie tussen de Programmable Logic Controller (PLC) op te vangen en zijn eigen ladder-logica vervolgens te uploaden.

Een PLC is een verzameling van processor bestuurde virtuele relays, die de controlesystemen van industriële machines aansturen. Via de ladder-logica, wat een verzameling instructies voor de PLC is, kan een aanvaller de werking van de PLC manipuleren.

In het geval van Stuxnet liet de malware de centrifuges op verschillende toeren draaien, maar liet de systeembeheerders een stabiel aantal toeren zien. Door het veranderde toerental zouden uiteindelijk zo'n duizend centrifuges zijn beschadigd.

Metasploit
Digital Bond besloot vervolgens een Metasploit-module te maken zodat ook anderen de aanval kunnen uitvoeren. Metasploit is een populaire toolkit voor het testen van de beveiliging van systemen en netwerken.

"Via de module kan een remote, ongeauthenticeerde gebruikers de actieve "ladder-logica" downloaden en uploaden. Dit is volledig ongeauthenticieerde connectiviteit via Modbus, en deze functionaliteit is gelijk aan de SCADA-lading van de Stuxnetworm", zo is in de omschrijving te lezen. In totaal verschenen er zes nieuwe SCADA-modules voor Metasploit.

Reacties (9)
09-04-2012, 12:40 door [Account Verwijderd]
[Verwijderd]
09-04-2012, 22:16 door staubsauger
Sure... Het gaat hier over een (mod)bus functie in het protocol van de PLC, niet over een applicatie.
Deze man weet heel goed waar hij over praat.
09-04-2012, 22:33 door Anoniem
Bij ieder bericht dat ik op deze site lees heb ik de gewoonte ontwikkeld om eerst met Google vast te stellen wat voor belang de auteur heeft in deze wereld.
Op www.digitalbond.com is te lezen dat "Dale moved to the commercial security industry" en even verderop is het volgende te lezen: "improve the security of PLC and DCS".
Hij heeft dus belangen om het het FUD in leven te houden.
Wat betreft Stuxnet an sich zijn er verschillende patches van zowel Microsoft als Siemens te krijgen.
Volg de link:
http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo&lang=en&objid=43876783&caller=view

Al het andere is geschiedenis.
Wat ik ook altijd "fijn" vind is dat ze auteur meteen even een Metasploit in elkaar draait. Wat wil hij daarmee bereiken?

Trouwens voor zover ik weet slaat "modicon_stux_transfer op de Modicon PLC van Schneider en niet op Siemens?
Wanneer je deze Metasploit leest staat dit ook in de broncode.

Ik zal het wel niet begrijpen. Helaas.
10-04-2012, 07:12 door Overcome
Door pe0mot: Onzin! Er is geen ladder programmering in de bedoelde applicaties. Man weet niet waar hij over praat.
Stoer hacker taal, gebakken lucht, commercieel vast handige jongen.
Ik heb het idee dat de technical lead van Metasploit het niet helemaal met je eens is, want op https://community.rapid7.com/community/metasploit/blog/2012/04/05/metasploit-update geeft hij aan dat hij zeer tevreden is met de zaken die gevonden zijn. Als je wat meer over ladder logic leest, kun je op je klompen aanvoelen dat dat wel degelijk betrekking heeft op de gerefereerde (Schneider Quantum ) PLC.
10-04-2012, 08:27 door Anoniem
Ik ben niet anders van Siemens gewend dat ze geen veilige code/applicaties schrijven. Half Nederlands internet hangt met zakelijke Siemens modems/routers aan de lijn zonder dat er een deugdelijk wachtwoord op het apparaat zit. Mede met dank aan een groot telecombedrijf dat het kennelijk niet nodig vind om haar klanten veilig aan het net te hangen.
10-04-2012, 08:37 door Anoniem
Volgens mij bedoelt de man dat hij de ladder programmering uit kan lezen, kan wijzigen en weer in de PLC-kan laden.

Jammer, dat er een plaatje met assembler bij staat en niet een plaatje met een ladder-diagram.
10-04-2012, 10:08 door RickDeckardt
make klikbaar
*ratelratel*
https://community.rapid7.com/community/metasploit/blog/2012/04/05/metasploit-update
10-04-2012, 10:54 door Anoniem
http://www.digitalbond.com/2012/04/06/stuxnet-type-attacks-are-easy/

The modicon_stux_transfer module allows you to show a Stuxnet-type attack on a Modicon Quantum PLC in two steps:

1. Anyone with logical access can download the existing ladder logic / program on the PLC.

2. Anyone with logical access can upload their own rogue ladder logic / program to the PLC to replace the legitimate program.

This is where the module is identical to the Stuxnet end game in that it loads rogue ladder logic to the PLC – the Siemens S7 PLC in Stuxnet, the Modicon Quantum for the new Metasploit module.

Exploit module is dus voor een andere PLC, maar een soortgelijke kwetsbaarheid zit in de PLC die in de Stuxnet aanval van nieuwe ladder logica werd voorzien.

Mijn vermoeden is dat dit wel eens een industriebreed probleem kan zijn.
10-04-2012, 17:30 door Anoniem
De Modicon hack heeft helemaal niets te maken met Stuxnet, het enige gemeenschappelijke is dat beiden een (aangepast) PLC programma op een PLC konden laden. Wel overeenkomstig is de mogelijkheid om op een PLC
een programma te downloaden zonder authenticatie, maar dat kan op elke PLC.

Het heeft verder ook niets met 'ladder' te maken, een andere programmeertaal kan ook. Het kunstje zit hem
er blijkbaar in dat uitgezocht is hoe een ladder-programma gecompileerd is naar PLC-assembly. Dat is bepaald
geen rocket-science.

Verder snap ik niet wat de titel van het artikel met het artikel zelf te maken heeft?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search