Het net geopenbaarde 0-day gat in de remote toegang tot Siemens' fabrieksbeheersoftware Simatic is wereldwijd te misbruiken. Industriële systemen met die zogeheten SCADA-software (Supervisory Control And Data Acquisition) zijn op afstand te beheren doordat remote access standaard open staat, mét default wachtwoord dat bovendien automatisch weer van kracht wordt als een gebruiker een ongeldig wachtwoord invoert.

Nederland, Delft

Openstaande systemen zijn via internet zó te vinden, blogt de security-onderzoeker die na 7 maanden stilte zijn ontdekking nu heeft geopenbaard. Hij verschaft daarbij een link naar portscanner-site Shodan. Dat heeft ruim een jaar geleden al dienst gedaan als 'Stuxnet-scanner'. Wereldwijd zijn er veel meer systemen te vinden, door simpelweg te Googlen op de tekstmelding dat de webinterface aan staat.

Klik voor groot

Via de SCADA-specifieke site Shodan zijn openstaande Simatic-systemen te vinden. Controle door Webwereld leverde een Nederlands ip-adres op, wat volgens een lookup op naam staat van onderzoeksinstituut TNO. Woordvoerder Maarten Lörtzer reageert snel op de melding van dit lek. Hij bevestigt dat het ip-adres van TNO is en licht de eigen security-mensen van het instituut in.

Gelijk offline

Die ict'ers nemen geen halve maatregelen en blokkeren het hele ip-adres van het achterliggende Simatic-systeem. Daarmee pakt TNO in één keer de drie 'vormen' van dit lek aan. De Siemens-software stelt namelijk standaard drie toegangsdiensten open: web, VNC (remote desktop) en Telnet. Webwereld heeft gisternamiddag alleen de eerste getest ter verificatie en vervolgens meteen TNO ingelicht.

Alledrie de diensten staan los van elkaar wat authenticatie betreft. Het aanpassen van gebruikersnaam en/of wachtwoord voor de ene remote toegangsdienst heeft dus geen gevolgen voor de andere. De webinterface biedt al genoeg opties om het achterliggende systeem te besturen, de logs ervan uit te lezen en het geheel uit te schakelen.

Klik voor groot

Klimaatcontrole

TNO heeft vóór de blokkade van de openstaande webinterface wel gecontroleerd wat het eigenlijke systeem is. Dit om in te schatten wat de impact van de blokkade zou zijn, legt Lörtzer uit. “Het is niet een kritiek systeem", weet hij te melden. “Het is de controle voor een klimaatkamer." In zo'n ruimte kan TNO metingen doen met verschillende temperaturen en luchtvochtigheid.

Het was niet zo dat hierlangs heel TNO was te 'bevriezen', stelt de woordvoerder nog gerust. Wel was via de openstaande webinterface te zien wat voor industrieel apparaat daarmee te bedienen is: een 10 inch touch-bedieningspaneel voor de gebruikte klimaatapparatuur. Dit zogeheten HMI-panel is te gebruiken voor de bediening van uiteenlopende industriële apparatuur: in fabrieken, energiecentrales en ook klimaatkamers.

Systeeminfo, webserver, logs

De openstaande webinterface gaf ook uitgebreide informatie over het achterliggende systeem. Zoals welke firmware- en bootloader-versie heeft, welke batch-opdrachten er zijn gedraaid, wanneer er operators hebben ingelogd.

De ingebouwde file browser van de webinterface geeft weer toegang de map waarin de eigenlijke webserver staat. Het leidt ook naar eventueel ingestoken geheugenkaarten en usb-sleutels. Daarop staan de logs, parameters, configuratiebestanden, history en diverse andere bestanden van het te bedienen industriële systeem.

1-klik pwnen

Verder is via de webinterface al direct alle 'user administration data' in één handzaam bestand te downloaden, maar ook te uploaden. Een kwaadwillende kan een zo verkregen .pwl-bestand dus voorzien van eigen inlogaccounts en die weer uploaden. Tot slot is de configuratie (de zogeheten 'recipes') van de industriële apparatuur toegankelijk: die is te downloaden, te wissen, te vervangen en aan te vullen.

Klik voor groot