Een Frans bedrijf dat software voor industriële systemen ontwikkelt heeft na achttien maanden een wachtwoord-lek in de software verholpen. In december 2011 ontdekte beveiligingsonderzoeker Rubén Santamarta dat de Schneider Electric Quantum Ethernet Module verschillende standaard wachtwoorden gebruikte. Het ging wachtwoorden die in de software waren vastgelegd.

Doordat er met een vast wachtwoord werd gewerkt zouden aanvallers toegang tot de Telnet poort, Windriver Debug poort en FTP-dienst kunnen krijgen. Vervolgens zou het mogelijk zijn om willekeurige code uit te voeren, het geheugen van de module aan te passen, een Denial of Service te veroorzaken, HTTP wachtwoorden te wijzigen en eigen firmware te installeren.

Patch
Ondanks de ernst van de situatie en het feit dat Schneider in 2011 werd ingelicht, is er pas achttien maanden later een eerste update uitgekomen. Deze update verhelpt niet alle gevonden problemen. Volgens het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) zijn updates voor de overige problemen nog in ontwikkeling.

Het gebruik van standaard, vastgeprogrammeerde wachtwoorden komt vaker voor binnen industriële systemen. Onlangs bleek het probleem ook in de TURCK BL20 en BL67 gateway en het RuggedCom ROS voor te komen. De wachtwoorden bij de TURCK gateway waren ook door Santamarta ontdekt.

Backdoor
"Het gebruik van vastgeprogrammeerde wachtwoorden in industriële apparaten is een slecht idee. Ik kan de verleiding bij fabrikanten begrijpen om backdoor 'support' in de firmware van dit soort producten toe te voegen", aldus de onderzoeker. Via de backdoor kunnen fabrikanten op afstand problemen verhelpen, met zo min mogelijk overlast voor de klant.

"Het is slechts een kwestie van tijd voordat iemand deze 'geheime' backdoors ontdekt", aldus Santamarta op het blog van IO Active, het beveiligingsbedrijf waarvoor hij werkt. Hij merkt op dat dit in veel gevallen weinig tijd kost en er geen fysieke toegang tot het apparaat is vereist.

"Het enige dat je hoeft te doen is het downloaden van de firmware van de website van de leverancier. Zodra je de firmware hebt gedownload, kun je het reverse engineeren en een aantal interessante geheimen ontdekken." In het geval van de gateway bleek die ook over een FTP-server te beschikken.

"De FTP-server en vastgeprogrammeerde wachtwoorden zijn een gevaarlijke combinatie. Een aanvaller met de inloggegevens kan het apparaat volledig overnemen", waarschuwt de onderzoeker, die voor zijn onderzoek een programma genaamd Stringfighter gebruikt.