image

Leverancier laat kritiek lek in beheersysteem voor watertanks ongemoeid

maandag 19 september 2022, 13:30 door Redactie, 6 reacties

Een leverancier van beheersystemen voor watertanks laat een kritieke kwetsbaarheid, waardoor een aanvaller eenvoudig op afstand de instellingen kan aanpassen, ongemoeid. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Het gaat om het TMS300 CS watertankbeheersysteem van Kingspan. Via dit systeem is het mogelijk om tot achttien watertanks te beheren. Het systeem, dat wereldwijd wordt gebruikt, is via een simkaart remote toegankelijk, maar kan ook op andere manieren worden aangesloten en gemonitord. Beveiligingsonderzoeker Maxim Rupp ontdekte dat het mogelijk is voor een aanvaller om zonder inloggegevens de instellingen van het systeem te bekijken en aan te passen. Hiervoor hoeft de aanvaller alleen een specifieke url te kennen.

Vanwege de eenvoud waarmee de kwetsbaarheid (CVE-2022-2757) is te misbruiken en de gevolgen die het kan hebben is de impact op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Het CISA waarschuwde Kingspan voor de kwetsbaarheid, maar volgens de Amerikaanse overheidsinstantie heeft het bedrijf geen reactie gegeven om het probleem te verhelpen. Bedrijven die van het systeem gebruikmaken wordt dan ook aangeraden om de toegang ertoe zoveel mogelijk te beperken, bijvoorbeeld door gebruik te maken van een vpn of firewall.

Reacties (6)
19-09-2022, 14:30 door Anoniem
Kritiek lek in watertanks :D
19-09-2022, 15:25 door Anoniem
Eh... waarom hangt zoiets aan internet?
19-09-2022, 16:26 door Anoniem
Door Anoniem: Eh... waarom hangt zoiets aan internet?

Zodat ze er zeker van kunnen zijn dat hun tanks lek zijn natuurlijk.
19-09-2022, 21:17 door Anoniem
Beveiligingsonderzoeker Maxim Rupp ontdekte dat het mogelijk is voor een aanvaller om zonder inloggegevens de instellingen van het systeem te bekijken en aan te passen. Hiervoor hoeft de aanvaller alleen een specifieke url te kennen.
Dit is werkelijk ongehoord. Wat een nalatigheid en dat klanten dit pikken trouwens.
20-09-2022, 10:47 door Anoniem
Wat voor watertanks, vraag ik me dan af. Even zoeken leert dat Kingspan een leverancier van bouwmaterialen is die een enorm aantal andere bedrijven heeft opgeslokt, waaronder bedrijven die watertanks leveren voor regenwateropvang en voor drinkwateropslag leveren voor zowel woningen bedrijven als boerderijen.

Uit de beschrijving van Kingspan op Wikipedia blijkt dat ze leveranciers waren van 5% van het isolatiemateriaal dat in de Grenfell tower was gebruikt, die in 2017 uitbrandde dankzij een brandbare buitenlaag. Ze wisten dat het materiaal het niet aan de brandveiligheidseisen voor dat doel voldeed en verkochten het toch. Een directeur vond dat consultants die zich zorgen maakten over de brandveiligheid konden "go fuck themselves" en hem verwarden met "someone who gives a dam [sic]". Voordat ze in de publieke verhoren aan de beurt waren hebben topmensen van het bedrijf aandelen verkocht, die in de loop van de verhoren 15% in waarde daalden, op tijd om die daling voor te zijn dus. Er staat niet dat ze ervoor vervolgd zijn, maar dat riekt naar handel met voorkennis en dat is strafbaar. Verder hebben ze een lastercampagne opgezet en lobbyisten ingehuurd om de indruk te verspreiden dat concurrerende producten ook niet aan de brandveiligheidseisen zouden voldoen.

https://en.wikipedia.org/wiki/Kingspan_Group#Grenfell_Tower_fire

Dat alles geeft een beeld van topmanagement dat totaal gewetenloos en zonder enig verantwoordelijkheidsbesef opereert. Het niet reageren op dit lek zou in dat licht wel eens geen kwestie kunnen zijn van een steekje laten vallen of nog even wakker geschud moeten worden maar van echt geen ene donder erom geven.

Voetnoot 10 op de gelinkte Wikipedia-pagina linkt naar een PDF met een overzicht van wat voor watertanks ze leveren. De pagina bevat ook een tabel met alle overnames die ze gedaan hebben.
20-09-2022, 17:14 door Anoniem
@ anoniem van 10:47

Uit je bericht valt e.e.a af te leiden. Wat een ongehoord verhaal, zeg. Maar - helaas - heel herkenbaar..
Hoe kun je, zonder ene r33t uit te voeren, toch giga binnenlopen via kompleet immoreel te zijn *.
Jammer genoeg nog te vaak aan de orde binnen managementsteams en de commercie.
Een schande voor de vaak onderbetaalde aapjes, die het werk voor deze netwerkende schurken moeten doen.

* Dit is een subsoort mens, die er bij psycho-analytische tests helaas niet of zelden uitkomt,
niet gecatalogiseerd staat, namelijk de empathieloze Draco-figuur.
Helaas komt men dergelijke "onmenselijke" mensen in de (aller)hoogste kringen tegen.

Er bestaan dus meerdere soorten mensen.
Echte bezielde mensen naast een subsoort, die meer als groepswezen functioneert.
En dan ook nog de voornoemde sch**t aan alles hebbende categorie,
die vaak een psychopatische stoornis vertonen. Zij gaan immers letterlijk (bijkans) over lijken.

Helaas aan de buitenkant is niet te zien "wat er in zit of wat er aan ontbreekt";).
Zodat je niet direct weet met welk soort je te maken hebt.

Maar aardige, hardwerkende en gewoon fijne mensen zijn er gelukkig ook nog genoeg.
Laten we daar vooral heel zuinig op zijn.

#obserwator
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.