Gapend gat bij honderden SCADA-leveranciers
Onderzoekers hebben in de software van honderden SCADA-leveranciers een ernstig probleem ontdekt waardoor aanvallers systemen in de kritieke infrastructuur kunnen manipuleren. Het probleem is aanwezig in CoDeSys (Controller Development Systemm) een door 3S-Smart Software Solutions ontwikkeld automatiseringspakket. Het wordt gebruikt voor programmable logic controllers (PLCs) en engineering workstations.
Een PLC is een verzameling van processor bestuurde virtuele relays, die de controlesystemen van industriële machines aansturen. Het pakket wordt standaard door honderden producenten van industriële automatiseringscomponenten toegepast.
Leveranciers
Volgens onderzoekers van Digital Bond zit er een kwetsbaarheid in CodeSys waardoor een aanvaller ongeauthenticeerde configuratieaanpassingen aan de PLC kan doorvoeren, waaronder willekeurige code. De ladder-logica van CodeSys, wat een verzameling instructies voor de PLC is en waardoor een aanvaller de werking van de PLC kan manipuleren, werkt op verschillende besturingssystemen.
Digital Bond heeft de melding van de kwetsbaarheid direct online gezet, zonder coördinatie met 3S of de getroffen SCADA-leveranciers die het pakket gebruiken. Het zou in totaal om 261 leveranciers gaan, hoewel onduidelijk is of ze allemaal kwetsbaar zijn. "We hebben het hier over 261 leveranciers met verschillende besturingssystemen dus het kan nog wel even duren voordat we dit onveilige ontwerpprobleem hebben opgelost", aldus de onderzoekers.
Aanval
Bij één leverancier wilden de tools van de onderzoekers niet werken. Deze leverancier, die anoniem wil blijven, past een secure development lifecycle (SDL) toe, die onder andere uit dreigingsmodellering bestaat. Tijdens de analyse ontdekte de leverancier dat het mogelijk was om kwaadaardige ladder-logica of andere kwaadaardige bestanden te uploaden, zonder dat CoDeSys hier iets aan deed.
De volgende stap van de onderzoekers is het ontwikkelen van Metasploit modules, de populaire hackertool waarmee security professionals en systeembeheerders de veiligheid van netwerken en machines kunnen testen.
Ben je gelijk van een hoop gezeik af, en ja de Black-hats kennen zo hun andere truckjes maar de scriptkiddies
die natuurlijk ook een hoop kwaad kunnen door hun geklik sluit je zo wel al af van de gevaarlijke dingen die men
kan doen met de SHODAN zoekmachine.
Wat vinden jullie hiervan? Een scriptkiddie kan een hoop kwaad doen waar niemand op zit te wachten!!!
Moet men de SHODAN zoekmachine niet sluiten?
Volgens niet-industriele IT kenners geldt nl: SCADA == kerncentrale.
Da's wel weer erg ongenuanceerd de andere kant van het verhaal, ik zie een zelfmoord-terrorist liever vóór zijn daad tegengehouden worden, en niet tijdens of na... Daarnaast heeft o.a. Stux toch wel bewezen dat het niet alleen kan maar ook daadwerkelijk gebeurde, met alle (mogelijke) gevolgen van dien.
Dat er kiddies rondlopen die beter kunnen "internetten" dan logisch nadenken over gevolgen (het zijn niet voor niets kinderen), geeft toch stof tot nadenken lijkt me, zeker nu dit soort kwetsbaarheden aan standaard tool-boxes worden toegevoegd.
Wat ik dan wel weer mis is actief toegepaste wetgeving in plaats van geklaag inderdaad.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.