SCADA symposium S4 legt veiligheidsdrama bloot

SCADA-systemen (Supervisory Control and Data Acquisition) worden gebruikt voor de besturing en controle van kritieke infrastructuur en industriële complexen, zoals energiecentrales. De kwetsbaarheid van SCADA-systemen kwam in de schijnwerpers te staan na de aanval van de Stuxnetworm op een Iraanse kerncentrale, maar ook daarvoor bestonden er al zorgen.

Tijdens Project Basecamp, een hackingproject op het SCADA Security Scientific Symposium werden nieuwe kwetsbaarheden gedemonstreerd in veelgebruikte controlesystemen. Bijvoorbeeld in de D20ME van General Electric, een oude controller die veel in de elektriciteitsindustrie wordt toegepast. Misbruik van twee 'features' in de D20 maakt het mogelijk de complete configuratie van de TFTP-server te downloaden, inclusief gebruikersnamen en wachtwoorden in platte tekst.

'Eng en gevaarlijk'

Reid Wightman van Digital Bond, die twee Metasploit-modulen voor de D20ME schreef, spreekt van ‘een griezelige en gevaarlijke situatie’. “Dit zijn voorbeelden van ‘insecure by design’. Een aanvaller kan de complete configuratie downloaden, bestuderen en bedenken met welke serie van commando’s hij het systeem kan veranderen of platleggen. Vervolgens kan hij via de TFTP-server die commando’s naar de D20ME sturen en laten uitvoeren.”

Onveilige PLC's

Er werden tijdens Project Basecamp op S4 ook een aantal kwetsbaarheden in de ECOM Ethernetmodule voor DirectLOGIC PLC’s van het Japanse bedrijf Koyo Electronics gedemonstreerd: beperking van de lengte van wachtwoorden, en het ontbreken van een stop na meerdere valse authenticatiepogingen. De ECOM10- modules van hetzelfde Koyo hebben een ingebouwde webserver waarvoor geen authenticatie nodig is bij het verbinden en die toestaat dat er op afstand wijzigingen worden doorgevoerd in de configuratie van PLC’s. Volgens Wightman "bevestigt de server input van gebruikers niet correct en is deze kwetsbaar voor cross-site scripting aanvallen.”