image

VS waarschuwt voor SCADA-lekken

maandag 14 mei 2012, 12:46 door Redactie, 12 reacties

Een Amerikaanse onderzoeker heeft in Italiaanse SCADA-software lekken ontdekt, terwijl een Italiaanse onderzoeker kwetsbaarheden in Amerikaanse SCADA-software aantrof. Het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), onderdeel van het ministerie van Homeland Security, waarschuwt voor een kwetsbaarheid in de Movicon Human Machine Interface (HMI) software. De programmatuur is door het Italiaanse Progea Srl ontwikkeld.

Door het versturen van een speciaal geprepareerd HTTP POST request kan een aanvaller het systeem laten crashen. Het lek werd door onderzoeker Dillon Beresford ontdekt. Movicon is een XML-gebaseerd human-machine interface ontwikkelsysteem dat drivers voor
programmable logic controllers (PLCs) bevat. Om het lek te misbruiken zou volgens ICS-CERT "middelmatige" kennis zijn vereist.

Overflow
Aan de andere kant van de oceaan vond de Italiaanse beveiligingsonderzoeker Luigi Auriemma verschillende lekken in de Pro-Server EX Data Management Software van het Amerikaanse Pro-face. Via de lekken kan een aanvaller verschillende overflows veroorzaken. Een oplossing voor de problemen is nog niet beschikbaar.

Tevens ontdekte Auriemma een kwetsbaarheid in de Wonderware Archestra SuiteLink, waardoor een aanvaller de SCADA-software kan laten crashen. Ook in dit geval is er nog geen update van de leverancier beschikbaar.

Reacties (12)
14-05-2012, 12:56 door Anoniem
Nou nou, crashende SCADA pakketten, meestal zit er wel een operator die dat wel zal opmerken.
Als ze nou echt een exploit hebben op de machines te besturen. En als ze al iets kunnen besturen is er wel een MESS/SAP laag die dat opmerkt.
14-05-2012, 14:01 door Anoniem
@12:56 anoniem
Beetje naieve opmerking. SCADA wordt voor veel zaken gebruikt waar geen mens naast zit/monitort. In 2003 al bij .... een audit gedaan naar KA-systeem omgeving. Kwam ook SCADA tegen, maar men wilde er niets over horen omdat het niet de opdracht was. Is er in de tussentijd wat aangedaan....denk het niet. Dus half Nederland kan op deze wijze op zwart, of een groot gedeelte onderwater.
14-05-2012, 14:09 door SBBo
Altijd wel een onderzoeker voorhanden die wat weet te vinden, waarmee ik de berichtgeving niet wil bagatelliseren.
Terecht of onterecht, dat doet we even niet toe in dit geval.
Kenmerk van een process control system, SCADA of DCS is dat alleen geauthoriseerde personen, in de vorm van operators en engineers toegang hebben tot de applicatie omgeving. Het mechanisme is dus duidelijk anders als bij een publieke website.
Wanneer iemand vrolijk met http post requests kan versturen heeft hij zich blijkbaar op één of andere wijze toegang weten te verschaffen tot de inner circle.
Voor diegene die het nog niet weet en berichten niet kan duiden: 100% beveiliging bestaat niet. Wat je ook onderneemt om industriële systemen te beveiligen (daar praten we hier over) er zal altijd iemand zijn die een methode weet te vinden om de beveiligingen te omzeilen.
Daarom hebben we het 'defence in depth' principe ontwikkeld. En zo hoort het ook.
14-05-2012, 14:11 door Anoniem
@Anoniem 12:56
Een crashende applicatie is vaak een eerste indicatie van een ernstiger probleem, zoals een buffer overflow.
14-05-2012, 14:20 door Anoniem
Valt een webserver van een verwarmings- en luchtbehandelingssysteem hier ook onder? Hiervoor heb ik toch 3 poorten moeten openen op de router bij een kleine organisatie om het installatiebedrijf toegang te geven. http-poort mocht wel op een andere poort gezet worden, 2 andere niet.
Als dit erg onveilig is denk ik er over om de poorten te sluiten en het bedrijf via een dichtgetimmerde RDP toegang te geven, deze staat toch al open voor medewerkers, zodat het systeem alleen van binnenuit de organisatie bereikbaar is.
14-05-2012, 14:28 door Anoniem
@14:09 SBBo
Helaas hangen vele systemen aan Internet met oude versies van Windows en zonder beveiliging. Met het idee, dit IP adres kent men toch niet......struisvogels. En geloof me, managers weten er van alleen de top wil het niet horen!
Immers, die audit was bedoeld voor een eventuele beurs gang en ging dus over financien. Core systemen waren een no-go.
Dus beste SBBo: wij weten wel hoe het hoort, maar sommige top-managers bij (grote) bedrijven willen het niet weten. Lippendienst was alles wat men aan deed.
Het erge was zelfs de toenmalige CISO dit niet wilde weten.
14-05-2012, 14:33 door Anoniem
@12:56
Een gemaal, op afstand bestuurd middels een SCADA systeem gekoppeld aan het Internet met een Win 95 installatie. Zitten er dan mensen in het gemaal? Jongens/meisjes wordt eens wakker en ga niet van je eigen wereldje uit waar het natuurlijk wel goed zit :\
Energie verdeelpunten, idem....zitten daar mensen? En ja, het ging hier om een energieleverancier.
14-05-2012, 23:18 door Whoops
Door Redactie: Een Amerikaanse onderzoeker heeft in Italiaanse SCADA-software lekken ontdekt, terwijl een Italiaanse onderzoeker kwetsbaarheden in Amerikaanse SCADA-software aantrof.
Software bevat altijd fouten, kwestie van lang genoeg zoeken
15-05-2012, 00:43 door Anoniem
1) hoe oud is die software? SCADA-software koopt men gewoonlijk voor de levensduur van een systeem, 10 jaar geleden waren maar weinig ontwikkelaars echt goed met beveiliging in software bezig.
2) hoeveel van deze systemen lopen er echt groot gevaar doordat ze publiek met een interface aan het internet hangen, en weten de eigenaren dat ook?
3) in plaats van nationalistisch met modder gooien is het wijzer om elkaar te helpen kritieke infrastructuur te beschermen en veilig te onderhouden. Iets met responsible disclosure, internationaal kennisdelen via CERTs en beseffen waar je mee bezig bent als je weet dat die systemen die SCADA draaien niet zomaar even geupdate zijn.
15-05-2012, 07:52 door [Account Verwijderd]
[Verwijderd]
15-05-2012, 11:01 door Anoniem
@ iedereen met commentaar op 12:56 anoniem:
Een scada systeem laten crashen is iets anders als de PLC laten crashen.

@rookie:
Alle scada systemen hangen aan internet, hopelijk wel beveiligd via VPN met tokens voor inloggen en remote desktop/firewalls (en toen werd ik wakker, hopelijk worden de ICT mensen ook eens wakker).
15-05-2012, 13:42 door Anoniem
De links naar de site van Luigi Auriemma werken niet meer, account suspended.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.