Siemens-PLC's een gevaar op de werkvloer

Hardgecodeerd wachtwoord in de firmware
Dillon Beresford van NSS Labs schetst op de Black Hat-confrentie voor hackers en beveiligers, hoe hij rechtstreeks via telnet of http PLC’s van Siemens kon manipuleren. Het ernstigste probleem dat Bereford tegenkwam was een hardgecodeerde gebruikersnaam annex wachtwoord (twee maal Basisk) in sommige versies van de firmware van PLC model S7-300. Dat is te misbruiken als achterdeurtje om het totale controlesysteem van het netwerk waar de PLC in opgenomen is in kaart te brengen en om de PLC zelf te herprogrammeren. Dit probleem doet zich voor in S7‐300 PLCs met geïntegreerd Profinet-interface die voor oktober 2009 zijn geleverd, en in IM15x Profinet PLCs van voor september 2010.

PLC's accepterren commando's uit iedere bron
Een ander probleem dat Beresford in Siemens-PLC’s vond, is dat er geen regels zijn geprogrammeerd ten aanzien van de communicatie. Het is niet mogelijk om vast te leggen dat een PLC alleen een commando van bepaalde IP-adressen of computers mag accepteren. Dat betekent dat commando’s om bepaalde ventielen open of dicht te zetten, of rotoren harder of zachter te laten draaien, rechtstreeks aan de PLC gevoerd kunnen worden zodra je toegang hebt tot het netwerk.

Die commando’s zelf kun je opnemen op een laboratoriumopstelling met PLC’s en de Step 7-software. De PLC vraagt wel een authenticatietoken, maar dat is eenvoudig te omzeilen. Een van de methodes die Beresford daarvoor vond was, een PLC in het laboratorium opdracht te geven wachtwoordbeveiliging uit te schakelen. Door datzelfde commando op de lijn naar een aangevallen PLC te zetten, bereik je daarom bij veel PLC-modellen van Siemens het beoogde doel. Het is zelfs mogelijk om het wachtwoord van de PLC te wijzigen, waarna de legitieme eigenaar die PLC niet meer kan aansturen.

Vraagtekens bij kwaliteitscontrole
Beresford vond tussen een reeks andere kwetsbaarheden in twee versies van de firmware ook nog een zogeheten paasei, een grapje dat programmeurs wel eens in software verstoppen. Het is een schermpje met dansende chimpansees. Of het kwaad kan, heeft Beresford nog niet onderzocht. Maar het zegt wel iets over de kwaliteitscontrole op software bij Siemens, in ieder geval in het verleden.

Beresford zou zijn bevindingen in eerste instantie al in mei presenteren, maar zag daar toen van af. Het Amerikaanse ministerie van Homeland Security had daarom verzocht, om even adempauze voor tegenmaatregelen te scheppen. Siemens heeft in de tussentijd nog niet alle gaten weten te dichten, mogelijk ook omdat Beresford in de drie maanden uitstel nog een aantal nieuwe lekken vond.