De Italiaanse beveiligingsonderzoeker Luigi Auriemma heeft weer een groot aantal kwetsbaarheden in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen of platleggen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan.

Het gaat onder andere om de systemen van Beckhoff, MeasureSoft, Rockwell, Carel, Progea, AzeoTech en Cogent, die voor allerlei doeleinden worden gebruikt. Het gaat in alle veertien gevallen om zero-day kwetsbaarheden waar nog geen patch beschikbaar voor is. Naast de advisory publiceerde Auriemma ook verschillende exploits om de lekken te demonstreren.

Veiligheid
Het probleem is dat het vaak om (oude) software gaat die niet met veiligheid in het achterhoofd is ontwikkeld. Veel leveranciers denken nog steeds dat aanvallers geen toegang tot de systemen kunnen krijgen waarop de software draait. Auriemma, die in maart ook al 34 lekken openbaarde, zegt dat hij de kwetsbaarheden in een "absurd" korte tijd wist te vinden en hij nog meer in petto heeft.

De Italiaanse hacker krijgt bijval van Dale Peterson van Digital Bond. Die laat weten dat SCADA-leveranciers geen goede security development life-cycle volgen en ook de kwaliteit van de software niet voldoende testen.

Overheid
Het is daarom aan overheidsinstanties en andere afnemers van SCADA-systemen om de leveranciers aan te spreken op de veiligheid ervan. Het gaat dan om wat ze doen om de systemen te beveiligen voordat ze die aan hun klanten verkopen, zegt Chris Wysopal, CTO van Veracode. De Amerikaanse overheid heeft inmiddels een waarschuwing voor de lekken afgegeven. Daarin wordt Auriemma niet genoemd of bedankt, omdat hij de kwetsbaarheden niet op verantwoorde wijze zou hebben gerapporteerd.