Gapend lek in switches voor spoor- en stroomnet

door

kerncentrale

door

Nieuws - Switches van RuggedCom, gebruikt in kritieke infrastructuur als energiecentrales en spoorsystemen, staan gênant wijd open. De username is 'factory' en het wachtwoord is afgeleid van het MAC-adres.

US CERT slaat alarm over een securityzeperd van epische proporties. De veiligheid van veel kritieke infrastructuur zoals energiecentrales, sein- wissel- en verkeersregelsystemen en defensienetwerken is in gevaar doordat iedereen kan inloggen op de cruciale switches en servers van leverancier RuggedCom.

Zwakke, hardcoded inlog

Deze zogenaamde SCADA-switches bevinden zich tussen computernetwerken en industriële elektronica zoals PLC's (programmable logic controllers). Ze zijn afgeschermd met een inlog maar dat is nauwelijks een drempel.

Wat blijkt namelijk? De gebruikersnaam voor alle RuggedCom-switches en servers is 'factory'. Deze inlog is niet alleen default aanwezig maar ook nog eens hardcoded in de netwerkapparatuur; het valt dus niet te wijzigen. Als klap op de vuurpijl: het wachtwoord is afgeleid van het MAC-adres van de betreffende switch, en te achterhalen met een PERL-scriptje van een paar regels.

Grote defensieklanten

Alle hardware die draait op het Rugged OS is op deze manier over te nemen. RuggedCom rekent de Amerikaanse marine en luchtmacht, Boeing, Lockheed Martin, Chevron, Alcoa en tientallen stroomleveranciers tot haar klanten. Bovendien wordt RuggedCom hardware wederverkocht door SCADA-giganten als ABB, General Electric en Siemens. Het is niet bekend of RuggedCom ook Nederlandse klanten heeft.

De Canadese netwerkleverancier is vorig jaar al op de hoogte gesteld van het gebrek, maar heeft niet gereageerd. Uiteindelijk heeft de ontdekker, securityonderzoeker Justin Clarke, de it-beveiligingsinstantie van de Amerikaanse overheid US CERT gewaarschuwd.

Komt geen patch

Vervolgens is RuggedCom tijd gaan rekken, maar het lek is nu geopenbaard op de beruchte security-mailinglist Full Disclosure. Uit wat RuggedCom heeft gecommuniceerd, blijkt dat het niet van plan is een patch uit te brengen. Daarmee is het gat een zogeheten foreverday bug geworden, een fout die eeuwig blijft bestaan, stelt techblog Ars Technica.

US CERT waarschuwt: “We zijn niet op de hoogte van een praktische oplossing voor dit probleem". Als workaround raadt het beveiligingsorgaan aan om de remote shell service op de RuggedCom-netwerkapparatuur uit te schakelen en het aantal toegestane Telnet-connecties op nul te zetten.

Geblunder

De Nederlandse netwerk- en securityspecialist Oscar Koeroo, verbonden aan onderzoeksinstituut Nikhef, vindt het een blunder. Hij heeft eerder al SCADA-kwetsbaarheden aangekaart.

"Het inbouwen van herleidbare accounts in hardware en software is een geblunder, dat moet door de kwaliteitscontroles zijn geglipt. Dit mag tegenwoordig echt niet meer voorkomen," zegt Koeroo tegen Webwereld.

Gekocht door Siemens

RuggedCom is begin dit jaar overgenomen door Siemens, dat ook geen al te best track record heeft op het gebied van SCADA-security. Zo heeft dit bedrijf een aangemeld beveiligingsgat 7 maanden laten liggen om vervolgens de ontdekker tegen zich in het harnas te jagen door openlijk te verklaren dat er geen openstaande beveiligingskwesties zijn.

De bewuste security-onderzoeker heeft toen zijn ontdekking geopenbaard. Webwereld heeft vervolgens ontdekt dat dit 0-day gat ook een klimaatcontrolesysteem bij het Nederlandse onderzoeksinstituut TNO raakt.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.