Twee onderzoekers hebben 25 verschillende kwetsbaarheden in de SCADA-systemen ontdekt die binnen de kritieke infrastructuur worden gebruikt. Via de lekken zou het mogelijk zijn om systemen die in de Verenigde Staten worden gebruikt voor de water- en elektriciteitsvoorziening te ontregelen.

Het is al langer bekend dat er kwetsbaarheden in SCADA (supervisory control and data acquisition)-systemen aanwezig zijn. Onderzoekers Adam Crain en Chris Sistrunk besloten naar een onderdeel te kijken dat nog niet vaak is onderzocht, namelijk DNP3 (Distributed Network Protocol). Dit een verzameling communicatieprotocollen die tussen onderdelen van procesautomatiseringssystemen wordt gebruikt. Het gaat dan bijvoorbeeld om een server in een controlecentrum die met de controller van een verdeelstation op een andere locatie communiceert.

De aanvaller zou voor het uitvoeren van de aanval fysiek toegang tot het verdeelstation moeten krijgen, die weer in verbinding met de server in het controlecentrum staat. De fysieke beveiliging van veel Amerikaanse verdeelstations is volgens de onderzoekers slecht geregeld. Daarnaast zou het ook mogelijk zijn om de aanval via draadloze radionetwerken uit te voeren, aangezien veel controlesystemen die gebruiken.

Crash

Zodra een aanvaller toegang tot het netwerk heeft, ontdekten de onderzoekers dat het mogelijk is om de hoofdserver te laten crashen. Hiervoor wordt gewacht totdat de hoofdserver een request packet naar de controller verstuurt, wat regelmatig voorkomt. Vervolgens sturen de onderzoekers speciaal geprepareerde response packets terug, waardoor de hoofdserver crasht en het controlecentrum het SCADA-netwerk niet meer kan monitoren en besturen. Ook het injecteren van code is mogelijk, waardoor een aanvaller een stroomstoring kan veroorzaken, zo laten de twee tegenover Wired weten.

Volgens SCADA-expert Dale Peterson, die de ontdekking al het ICS-verhaal van 2013 noemt, is er op dit moment geen manier om de aanval via een firewall of ander perimeter-beveiligingsapparaat te stoppen, aangezien de DNP3-responses wel doorgelaten moeten worden. De beheerders zouden de ontregelde server wel kunnen rebooten, maar vervolgens kan de aanvaller weer een DNP3-response sturen.

Probleem

Het probleem werd in bijna alle systemen aangetroffen die de onderzoekers hebben getest. De gevonden kwetsbaarheden werden zes maanden geleden al aan het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid gerapporteerd, maar sindsdien hebben fabrikanten en toezichthouders weinig actie ondernomen om de problemen binnen het elektriciteitsnetwerk op te lossen. Inmiddels zijn er voor negen van de ontdekte kwetsbaarheden updates verschenen, maar zijn de overige lekken nog altijd ongepatcht.

Oorspronkelijk zouden Crain en Sistrunk hun presentatie over de gevonden kwetsbaarheden in juli van dit jaar tijdens de S4 beveiligingsconferentie geven, maar die presentatie is nu naar januari 2014 verzet zodat alle betrokken partijen langer de tijd hebben om de problemen op te lossen.