Verkeerslichtsysteem door ernstige kwetsbaarheid over te nemen
Een ernstig beveiligingslek in een verkeerslichtcontrolesysteem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.
Het beveiligingslek, aangeduid als CVE-2020-12493, wordt veroorzaakt door een open debugpoort. Een dergelijke poort wordt vaak door ontwikkelaars gebruikt om problemen in een product te verhelpen. Het is meestal niet de bedoeling dat een openstaande debugpoort in het definitieve product achterblijft. In het geval van de LS4000 van Swarco was de debugpoort niet alleen zonder wachtwoord te gebruiken, het gaf gebruikers ook rootrechten.
Alleen het maken van een verbinding via de de debugpoort was zo voldoende om volledige controle over het systeem te krijgen. Het beveiligingslek werd gevonden door het Duitse securitybedrijf ProtectEM, dat voor een Duitse stad een security-audit uitvoerde. Peter Fröhlich, directeur van ProtectEM, laat tegenover SecurityWeek weten dat hij tijdens de audit voor de Duitse stad geen aanwijzingen heeft gevonden dat de Swarco-systemen via het internet toegankelijk zijn.
Een aanval via fysieke toegang tot het verkeerslichtennetwerk is dan ook waarschijnlijker. En vanwege de aard van dergelijke netwerken zijn die overal in de stad te vinden, aldus Fröhlich. "De toegang is bedoeld voor debugging. Het is dus geen bug of softwarefout die te misbruiken is. Het systeem is uitgerold met een configuratie die niet voor een productiesysteem is bedoeld, zonder beveiliging voor de toegangspoort", merkt de directeur op.
Swarco werd vorig jaar juli door het securitybedrijf geïnformeerd. Afgelopen april maakte de fabrikant een beveiligingsupdate voor klanten beschikbaar die de poort sluit. Steden en overheden die van de verkeerslichtsystemen gebruikmaken worden dan ook opgeroepen om met Swarco contact op te nemen.
Afgelopen dinsdag kwam het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, met een waarschuwing voor de kwetsbaarheid. De producten van Swarco worden in meer dan zeventig landen wereldwijd gebruikt.
bij Swarco is altijd wat te doen.
Bijna een jaar nodig om de debugpoort uit te schakelen? Het is duidelijk dat ze dit soort zaken heel serieus nemen...
De LS4000 zit in de verkeersregelkast. Vanaf internet is de LS4000 niet bereikbaar.
Heb je wat kwaads in het zin, dan moet je de met sloten afgesloten kast openbreken. (koevoet? Of Aage M. inhuren)
Als je de kast toch al opengebroken hebt, dan kan je net zo goed alle kaarten met de electronicacomponenten meenemen.
De Actros-kast wordt enkel nog gebruikt in België en Duitsland.
In Nederland zijn de VRI-eisen het strengst van Europa en hebben wij daarom de iTC-2-kast van Swarco. Deze heeft geen LS4000.
Om die reden is er voor de Nederlandse installaties geen beveiligingslek aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.