Siemens erkent de kwetsbaarheid, maar slaat geen groot alarm. Experts spreken echter van grote risico's en hekelen Siemens voor de trage reactie en het bagatelliseren van het gat. Veel, heel veel cruciale industriële systemen worden bestuurd met deze Siemens software.

Het bedrijf spreekt in het supportdocument over “een potentiële zwakke plek" in het authenticatiemechanisme van de cliëntsoftware, die dient voor de aansturing van de industriële apparatuur (Siemens' Simatic-controllers). Dit gat zit in de S7-familie van Simatic plc's (programmable logic controllers), die in gebruik zijn in fabrieken en energiecentrales.

'In potentie eventueel mogelijk'

Deze “potentiële zwakke plek kan potentieel een aanvaller die toegang heeft tot het product of de communicatielink van het aansturingssysteem om staat stellen om het wachtwoord voor het product te onderscheppen en te ontcijferen", sust de leverancier. Daarmee is het dan “potentieel" mogelijk om “ongeautoriseerde wijzigingen aan te brengen in de werking van het product".

Het gaat hierbij dus om het overnemen van het systeem via een legitieme account. Bovendien is de toegang die een aanvaller nodig heeft ook op afstand te verkrijgen: via de communicatielink.

Die is normaliter niet direct verbonden met bijvoorbeeld het internet, maar wel met het fabrieksnetwerk wat tegenwoordig weer gekoppeld is aan het reguliere bedrijfsnetwerk met servers voor bijvoorbeeld e-mail, een website, enzovoorts. Een scheiding, de zogeheten 'air gap', tussen die twee interne netwerken is een mythe, stellen security- en Scada-experts.

Verontwaardigd

Zij nemen deze nieuwste kwetsbaarheid hoog op. Siemens zou een achterhaalde security-aanpak hanteren, slordig of ronduit nalatig zijn, en zelfs misleidend. De Duitse leverancier van industriële software krijgt een onvoldoende voor cybersecurity, op basis van de recente Amerikaanse gebruikersbijeenkomst waar het bedrijf ook over beveiliging en Stuxnet sprak.

Op die Siemens Automation Summit werd echter geen gewag gemaakt van het wachtwoordlek, dat deze week naar buiten is gekomen. Ook geen woord over het beveiligingsgat in WinCC dat een dag na de conferentie is onthuld door de speciale 'Scada-afdeling' van beveiligingsorgaan CERT (Computer Emergency Response Team) van de Amerikaanse overheid.

Stilgehouden

Dat ICS-CERT (Industrial Control Systems CERT) sloeg alarm (PDF) over het gevaar van crashes in beheersoftware WinCC waardoor malware uitgevoerd kan worden. Dat openbare security-bulletin zou oorspronkelijk op 24 juni worden gepubliceerd, maar dat is uitgesteld om gebruikers de tijd te geven Siemens' fix hiervoor te installeren.

De publieke bekendmaking is “gedaan op vrijdag, net voor een vakantieweekend [vanwege de Amerikaanse feestdag 4 juli - red.]", klagen security-experts Eric Byres en Joel Langill (ook bekend als SCADAhacker). “Siemens wist van deze kwetsbaarheden tijdens de conferentie", maar heeft besloten die niet te bespreken met de eigen gebruikers.

Patches versus conservatieve fabrieken

Zij betichten het bedrijf ook van kortzichtigheid. De nu geopenbaarde lekken in de S7-controllers komen namelijk voort uit een gat dat enige tijd terug is ontdekt in het 1200-model van die S7-familie van plc's. Dat lek (PDF) was dus niet beperkt tot dat ene plc-model. Siemens heeft daarvoor midden juni wel patches uitgebracht. Die dichten enkele beveiliginsgaten in de S7-firmware, zoals een kwetsbaarheid voor een DoS-aanval (denial of service) waarmee fabrieksapparatuur dus is plat te leggen.

Voor de exploitbare WinCC-crash, die ICS-CERT begin mei heeft gemeld aan Siemens, is eind juni een patch uitgebracht. Die is echter alleen voor huidige versies van Siemens' software, terwijl de kwetsbaarheid ook zit in uitgefaseerde versies (PDF). Fabrieken en energiecentrales gebruiken vaak nog oudere programmatuur vanwege de complexiteit en omvang van hun systemen.

Basistips

Siemens heeft nog geen patch voor het wachtwoordlek en geeft in het supportdocument ook geen timing daarvoor. Wel biedt de leverancier een aantal tips voor klanten die bezorgd zijn over ongeautoriseerde toegang tot hun fabriekssystemen. Dit zijn basisstappen als het beperken van de toegang - zowel fysiek als elektronisch - tot de betreffende systemen, het inzetten van gelaagde securitymiddelen in het systeemontwerp om toegang te beperken, het blokkeren van het netwerkverkeer dat van buiten de fabriekszone komt, en het regelmatig veranderen van het wachtwoord.

Bij laatstgenoemde tip geeft Siemens nog het aanvullende advies om eerder gebruikte wachtwoorden echt uit te schakelen. Dit om de dreiging te verminderen als een wachtwoord publiekelijk bekend wordt. Dat is namelijk eerder al gebeurd: de default gebruikersnamen en wachtwoorden voor WinCC zijn in 2008 uitgelekt en in juli vorig jaar actief benut door de (later beruchte) Stuxnet-worm.

Schade en schande

Het wachtwoordadvies is dus door schade en schande geleerd. Dat is nog verergerd doordat bleek dat het wijzigen van het wachtwoord, als eerste afweer tegen dat ene element van de complexe Stuxnet-malware, niet aan te raden was. De opstelling van Siemens' beheersoftware en de daarbij horende SCADA-systemen is namelijk deels afhankelijk van de standaard wachtwoorden voor de eigen werking.

Voor de tweede tip, het afschermen van netwerkverkeer van buiten de fabriekszone, adviseert Siemens “gepaste security-technologie". Het noemt in het supportdocument de eigen Scalance S612-module, compleet met bestelnummer, of een “soortgelijke effectieve firewall of security-appliance". Die dienen dan als buffer om verkeer tegen te houden via tcp- en udp-poort 102 naar de industriële Scada-apparatuur die specifieke protocollen gebruikt (Profibus, MPI en Profinet).