Kritiek lek in Logix-controllers voor fabrieken door hard-coded key
Een kritieke kwetsbaarheid in de Logix-controllers van fabrikant Rockwell Automation maakt het mogelijk voor aanvallers om op afstand toegang tot industriële systemen te krijgen. Het beveiligingslek, aangeduid als CVE-2021-22681, is op een schaal van 1 tot en met 10 wat betreft de impact met een 10 beoordeeld.
De Logix-controllers worden gebruikt voor de aansturing van industriële processen, zoals de assemblagelijnen van fabrieken. Het programmeren van de Logix-controllers wordt gedaan door middel van Studio 5000 Logix Designer. Een kwetsbaarheid in deze software maakt het mogelijk om de cryptografische sleutel te achterhalen die wordt gebruikt om de communicatie tussen de Logix-controller en het werkstation van de fabriek te controleren.
Door het beveiligingslek kan een aanvaller de key achterhalen en met elke willekeurige Logix-controller die toegankelijk is verbinding maken. Zo kan de aanvaller zich voordoen als het werkstation dat de Logix-controller bestuurt en de controller bijvoorbeeld met malware infecteren, wat gevolgen voor het productieproces heeft.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security is de kwetsbaarheid op afstand te misbruiken en vereist dit weinig kennis. Het beveiligingslek werd door drie verschillende partijen onafhankelijk van elkaar ontdekt en aan Rockwell gerapporteerd. Een beveiligingsupdate is niet beschikbaar gemaakt. In plaats daarvan krijgen organisaties het advies om de instellingen van hun controller aan te passen en ervoor te zorgen dat die niet direct vanaf het internet toegankelijk is.
Even generiek: waarom niet een fysieke knop op dit soort apparaten die een tijdelijke key gereneerd en dit op een LCD display laat zien totdat een timer de key verwijderd.
Even generiek: waarom niet een fysieke knop op dit soort apparaten die een tijdelijke key gereneerd en dit op een LCD display laat zien totdat een timer de key verwijderd.
Zeker nog nooit in een installatie rondgelopen waar dit soort spullen inzitten?
Even generiek: waarom niet een fysieke knop op dit soort apparaten die een tijdelijke key gereneerd en dit op een LCD display laat zien totdat een timer de key verwijderd.
Zeker nog nooit in een installatie rondgelopen waar dit soort spullen inzitten?
Dat laat onverlet dat beveiliging van industriële automatisering wel de nodige aandacht behoefd.
Even generiek: waarom niet een fysieke knop op dit soort apparaten die een tijdelijke key gereneerd en dit op een LCD display laat zien totdat een timer de key verwijderd.
Zeker nog nooit in een installatie rondgelopen waar dit soort spullen inzitten?
ik wel, maar zeker nog nooit naast zo'n fabrieksterrein gewoond?
Boem of sissssssssssss.... is vooral voor de handjes op de fabrieksvloer, en de omwonenden en nabestaanden vervelend, maar het is wel iets goedkoper om te bouwen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
