“Ons ontwikkelingsteam heeft onmiddelijk actie ondernomen en deze kwesties opgepakt", luidt een verklaring op de website van Siemens. De Duitse fabrikant van industriële beheersoftware erkent daarin dat het in mei 2011 is gewezen op de kwetsbaarheden. Deze blijken in Nederland in ieder geval onderzoeksinstituut TNO te hebben geraakt.

Boos, geopenbaard

Security-expert Billy Rios van Google heeft zijn ontdekking van voor de zomer namelijk net voor de kerst geopenbaard. Hij heeft dat gedaan uit verbolgenheid over het feit dat Siemens-woordvoerders officieel het gat hebben ontkend tegenover persbureau Reuters. Vragen van Webwereld over deze kwestie staan nog altijd uit bij Siemens-woordvoerders. Meerdere daarvan blijken op kerstvakantie te zijn, maar voorlichter Gerhard Strauss heeft gereageerd en Webwereld antwoorden toegezegd.

Op de eigen website geeft Siemens nu aan dat het de gaten in zijn beheersoftware voor industriële systemen erkent en dat het met een patch ervoor komt. Die oplossing voor de in mei gemelde kwestie komt in januari, aldus het korte bulletin. De kwetsbaarheden zitten in WinCC Flexible RT (versies 2004 tot en met 2008 SP2), WinCC Runtime Advanced, en in enkele Simatic touch-schermen voor systeembediening. Laatstgenoemde bleek bij TNO open te staan voor bediening en beheer vanaf het internet.

Meer patches

De beloofde patch die in januari uitkomt, is de eerste voor de openstaande gaten die Rios heeft gemeld. Het is niet bekend voor welke kwetsbaarheid die aankomende patch dan is. Ook is het onbekend hoeveel patches er nog volgen en wanneer die dan verschijnen. Verder meldt Siemens in het korte bulletin nog wel dat er in december nog enkele andere kwetsbaarheden zijn gemeld aan het bedrijf. Details zijn niet gegeven.

De leverancier bedankt hierbij Billy Rios, maar ook ene Terry McCorke. Mogelijk is dat een verkeerde spelling van de naam van de bekende security-expert Terry McCorkle. Hij heeft eerder al diverse gaten in Siemens' beheersoftware ontdekt, wat ook tot officiële waarschuwing (PDF) van het Amerikaanse overheidsorgaan ICS-CERT heeft geleid. McCorkle werkt geregeld samen met Rios.

Siemens' beheersoftware voor industriële systemen blijkt default open te staan voor beheer op afstand: Klik voor groot

De verklaring van Siemens staat op de homepage van het bedrijfsonderdeel Industrial Security, maar ontbreekt op dit moment nog op de eronder gelinkte nieuwspagina voor die industriesector. Het bulletin is gedateerd op de dag van Webwerelds publicatie over dit 0-day beveiligingsgat en de aanwezigheid daarvan bij TNO. Woordvoerders van de softwarefabrikant hebben echter nog geen antwoorden verschaft op uitstaande vragen.