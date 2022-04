De Nederlandse beveiligingsonderzoekers Daan Keuper en Thijs Alkemade van Computest Security hebben de internationale hackerwedstrijd Pwn2Own gewonnen door verschillende zerodaylekken in industriële software te demonstreren. Tijdens Pwn2Own Miami worden onderzoekers beloond voor het tonen van onbekende kwetsbaarheden in industriële controlesystemen die worden gebruikt voor het aansturen en beheren van productieprocessen.

Keuper en Alkemade vonden tijdens hun onderzoek onder meer kwetsbaarheden in de categorie Control Server-oplossingen die zorgen voor voor connectiviteit, monitoring en beheer van verschillende industriële systemen. De kwetsbaarheden werden aangetoond in de controlservers Iconics Genesis64 en Inductive Automation Ignition en zorgen ervoor dat aanvallers systemen volledig kunnen overnemen.

Ook werden kwetsbaarheden gevonden in de categorie OPC Unified Architecture (UA). Dit is het universele vertaalprotocol dat door bijna alle ICS-producten wordt gebruikt om data te verzenden tussen systemen van verschillende leveranciers. Binnen de .NET implementatie demonstreerden de Nederlandse onderzoekers hoe ongeautoriseerd toegang verkregen kan worden en hoe daarmee de mogelijke werking van systemen kan worden beïnvloed.

Bij de C++ implementatie werd een Denial-of-Service (DoS) gevonden. Hierdoor kan een aanvaller ervoor zorgen dat de systemen niet meer in staat zijn met elkaar te communiceren en daarmee zijn plat te leggen. Verder wisten Keuper en Alkemade kwetsbaarheden in AVEVA Edge te demonstreren. Dit systeem was het doelwit in de categorie Human Machine Interface (HMI). Met een HMI krijgen beheerders toegang tot verschillende hardware-onderdelen. Als een HMI wordt overgenomen hebben beheerders geen inzicht meer in de status en mogelijke problemen met de hardware. Daardoor kunnen productieprocessen ernstig worden verstoord zonder dat dit direct wordt gesignaleerd.

"Wat we in ons onderzoek hebben gezien bij deze ICS-systemen is vergelijkbaar met de kwetsbaarheden die eerder in zakelijke it-systemen zijn gevonden. Je zou het kunnen zien als kinderziekten, die echter grote gevolgen kunnen hebben voor productieprocessen die op hun beurt de gehele supply chain beïnvloeden", aldus Keuper. De onderzoeker wil naar eigen zeggen niet alleen zichzelf uitdagen met het onderzoek, maar ook bewustzijn creëren bij gebruikers. "Zodat zij niet klakkeloos met systemen aan de slag gaan zonder serieus naar de beveiliging te hebben gekeken." Voor de verschillende kwetsbaarheden ontvingen de Nederlanders in totaal 90.000 dollar.