De 'kwetsbaarheid' van het via het web aan te spreken SCADA-systeem is dat wachtwoorden in platte tekst worden opgeslagen en dat aanvallers deze kunnen bemachtigen door simpelweg een url te benaderen. Het gat in de applicatie krijgt een CVSS-score van 9.8 en is dus zeer kritiek.

Het Amerikaanse ICS-CERT waarschuwde eind vorige week voor het gat in Honeywell XL Web II-systemen. Door een url op te geven krijgen aanvallers toegang tot de webapplicatie en "de XL Web II-controllerapplicatie wordt dan in feite een ingangspunt voor het netwerk waar het zich in bevindt", meldt de advisory.

Deze controllers worden volgens de fabrikant ingezet in energiecentrales, waterleidingbedrijven en rioolzuiveringsinstallaties. De Amerikaanse producent vermoedt dat vooral Europa en het Midden-Oosten deze specifieke apparaten gebruiken en minder in de VS zelf.