De onthulling van een ernstig lek in de industriële software van Siemens deze week, is volgens het Duitse concern een gevolg van een miscommunicatie. Een verslaggever van persbureau Reuters vroeg om informatie over openstaande lekken, en kreeg te horen dat er geen openstaande problemen waren. De woordvoerder van Siemens stelt nu dat de verslaggever vroeg of er naast de door Billy Rios en Terry McCorke gerapporteerde kwetsbaarheden, ook nog andere problemen speelden. Daarop liet de woordvoerder weten dat er verder geen lekken bekend waren. Hij zou nooit het bestaan van de in mei gemelde kwetsbaarheden hebben ontkend.

Lekken
Rios ontdekte dat het standaard wachtwoord voor Siemens SIMATIC "100" is. "Er zijn drie verschillende diensten die zijn blootgesteld als Siemens SIMATIC geïnstalleerd is: web, VNC en Telnet." De standaard inlog voor de webinterface is "Administrator:100" en de VNC service vereist alleen het wachtwoord "100", zonder gebruikersnaam.

Een nog veel groter probleem is dat het session-cookie voor een ingelogde beheerder niet willekeurig is. Een aanvaller kan hiermee op afstand een SIMATIC HMI overnemen, dat de controlesystemen en kritieke infrastructuur over de hele wereld aanstuurt, zonder gebruikersnaam of wachtwoord te weten, aangezien de waarde voor de sessie volledig voorspelbaar is.

Patch
Op de eigen website meldt Siemens dat het de problemen in de software via beveiligingsupdates zal patchen. De eerste update staat voor januari 2012 gepland. Daarnaast zijn deze maand andere lekken gerapporteerd, die Siemens nu onderzoekt. Daarbij bedankt het ook de onderzoekers. "We bedanken Billy Rios en Terry McCorke voor het melden van de kwetsbaarheden."