Dat zegt het US Computer Emergency Readiness Team (US CERT). De SCADA-producten van leverancier Iconis zitten kwetsbaarheden die het voor kwaadwillenden mogelijk maken om van afstand schadelijke code uit te voeren. De SCADA-systemen zorgen voor de bediening van machines in onder meer fabrieken, elektriciteitscentrales, olie- en gasinstallaties.

Stack-overflow

De kwetsbaarheid bestaat uit een stack-overflow bug in een ActiveX-controller die wordt gebruikt door de SCADA-systemen, zo hebben onderzoekers van Security Assessment uitgevonden. Zij hebben een proof-of-concept exploit geschreven in JavaScript.

Iconics heeft volgens The Register het gat gedicht door het lekke component te vervangen in een update. US CERT heeft niettemin bedrijven aangeraden de betreffende systemen los te koppelen van het internet.

SCADA-systemen eerder lek

Het is niet de eerste keer dat SCADA-systemen lek blijken te zijn. De Stuxnetworm maakte vorig jaar gebruik van gaten in de SCADA-systemen van Siemens bij aanvallen op Iraanse kerncentrales.

Die aanval wordt toegeschreven aan hackers die zouden werken in opdracht van een overheid, waarbij Israël en de Verenigde Staten werden genoemd. Die aanval zou het Iraanse nucleaire programma flink hebben gefrustreerd.