Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor verschillende beveiligingslekken in met internet verbonden wasstraten van fabrikant PDQ. Dit zijn volledig geautomatiseerde wasstraten.

Onderzoekers lieten deze week tijdens de Black Hat-conferentie in Las Vegas zien hoe de wasstraat, die via een webserver op afstand door technici is te benaderen, kan worden overgenomen en gebruikt voor het aanvallen van inzittenden. Volgens het ICS-CERT kunnen de wasstraten inderdaad op afstand worden aangevallen en is hier weinig kennis voor nodig. Daarnaast zijn er inmiddels exploits openbaar om de aanval uit te voeren.

De problemen worden veroorzaakt doordat de webserver ingevoerde inloggegevens niet goed controleert en gebruikersnamen en wachtwoorden onveilig worden verstuurd. In het geval de aanval succesvol is kan een aanvaller de wasstraat overnemen en bijvoorbeeld deuren op willekeurige momenten laten dichtslaan of de wasarm water laten blijven spuiten. De problemen zijn aanwezig in de LaserWash, Laser Jet en ProTouch van PDQ die wereldwijd worden gebruikt.

Inmiddels werkt de fabrikant aan een beveiligingsupdate voor de wasstraat, maar wanneer die verschijnt is nog onbekend. Wasstraatbeheerders krijgen van PDQ het advies om de apparatuur niet via internet toegankelijk te maken, maar achter een firewall te plaatsen. Onderzoekers ontdekten echter 150 wasstraten die online waren. Tevens moet na de installatie het standaardwachtwoord worden gewijzigd en beschikbare beveiligingsfuncties van de router worden geïnstalleerd.