Kritieke lekken in industriële software maken Stuxnet-opvolger mogelijk

Industriële controlesoftware is nog steeds lek als een zeef. Nieuw onderzoek vindt een handvol kritieke bugs met mogelijks verregaande gevolgen als ze uitgebuit worden in software van onder andere Siemens en Fuji Electric.

Negen jaar geleden toonde het Stuxnet-virus aan hoe ernstig de gevolgen van kwetsbaarheden in industriële controlesoftware kunnen zijn. Het virus, ontwikkeld door Israël en de VS, baande zich via kwetsbaarheden in Windows een weg naar computers verbonden aan Iraanse uranium-centrifuges. Via een laatste kwetsbaarheid in de Siemens-software waarmee die toestellen bestuurd werden, zorgde het virus ervoor dat de dingen zichzelf in de vernieling draaide.

Geen lessen geleerd

Bijna een decennium na die wake-up-call is het echter nog steeds nefast gesteld met de beveiliging van SCADA-systemen. Onderzoekers van beveiligingsspecialist Telable namen software van verschillende vendoren van industriële controlesoftware onder de loep en vonden kwetsbaarheden die je ronduit als pijnlijk kan wegschrijven.

Zo heeft Siemens een controleportaal op de markt waarmee administrators vanop afstand machines kunnen monitoren en bedienen. TIA-administrator bevatte een bug waarmee hackers via het internet wachtwoordauthenticatie compleet kunnen omzeilen om data rechtstreeks naar machines te sturen. Het is zelfs in theorie mogelijk om via het lek firmware aan te passen en eigen code te injecteren (in de praktijk niet, zie update onderaan). Siemens heeft de enorme kwetsbaarheid intussen gepatched, al is het aan organisaties om te verifiëren dat de update is uitgevoerd.

Iedereen schuldig

Andere softwarebouwers zijn niet zonder blaam. Zo kan V-Server van Fuji Electric offline worden gehaald via een out of bounds-kwetsbaarheid, en kunnen inloggegevens gestolen worden. Software va Schneider Electric bevatte maar liefst zes lekken die criminelen konden misbruiken om eigen code uit te voeren. De onderzoekers van Telable delen hun resultaten op een blog, waar je de CVE’s van de lekken vindt. Ze keken uitsluitend naar kwetsbaarheden in negen maanden en de hoeveelheid kritiek bugs die ze oplijsten, is zorgwekkend te noemen.

Een lek in een softwaresysteem kan ernstige gevolgen hebben voor de continuïteit van een bedrijf. Helemaal vervelend wordt het wanneer persoonsgegevens worden gelekt. Bugs in SCADA-toepassingen hebben echter fysieke gevolgen: hackers kunnen dure machines vernielen en productieprocessen in de war sturen.

De onderzochte softwaresystemen zijn bovendien niet van de minste. Ze worden gebruikt bij het aansturen van onder andere elektrische centrales en grote fabrieken. Als een hacker een lek van bovenstaand kaliber eerst vindt, kunnen de gevolgen zich ver laten voelen.

Update 17/08

Siemens bevestigt het probleem in een reactie aan Techzine en geeft aan dat het intussen verholpen is. Het bedrijf wijst er wel op dat een extra beveiligingslaag er voor zorgt dat aangepaste firmware niet zomaar zal ingeladen worden. Toestellen zelf voeren nog een authenticatiecheck uit op nieuwe firmware en als die niet correct ondertekend is, wordt die niet geladen. Dat maakt aanpassingen van de firmware via het TIA-Administrator-lek in de praktijk alsnog onmogelijk. Siemens houdt het publiek zelf op de hoogte van eventuele veiligheidsrisico’s via een eigen website.

Gerelateerd: Micro-gateways kunnen potentieel elk IoT-apparaat beveiligen