'Siemens negeerde bugmelding in SIMATIC'
Beveiliger Rios schrijft in zijn persoonlijke blog dat hij in mei dit jaar de authenticatie bypass in Siemens SIMATIC-systemen rapporteerde. SIMATIC-systemen worden gebruikt voor het beheren van industriële controle systemen en kritieke infrastructuur. De bypass raakt volgens Rios vrijwel alle SIMATIC-klanten. Eergisteren kreeg hij via een journalist van Reuters te horen dat de authenticatie bypass volgens Siemens niet bestaat.
Shutterstock
Shutterstock
Default wachtwoord '100'
De 'SIMATIC remote authentication bypass' maakt het volgens Rios mogelijk in te loggen in een SIMATIC-systeem door het default wachtwoord '100' in te tikken. Het default wachtwoord geeft toegang tot zeker drie SIMATIC services: Web, VNC en Telnet. Rios ontdekte ook dat als een gebruiker zijn wachtwoord wil veranderen in een nieuw wachtwoord dat één of meer speciale tekens bevat, het wachtwoord automatisch wordt teruggezet op '100'.
Rios zegt dat hij na een succesvolle login een session-cookie terugkreeg die er als volgt uitzag: EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTM3NzQ2OCoxNyo=. Het ziet er wellicht veilig uit, maar na cookies van meerdere opeenvolgende sessies te hebben gedecodeerd geven ze het volgende beeld te zien:
<STATIC VALUE>*administrator*11377468*17*
<STATIC VALUE>*administrator*11393468*18*
<STATIC VALUE>*administrator*11409484*19*
<STATIC VALUE>*administrator*11425484*20*
"Zeer voorspelbaar", schrijft Rios. "Wat kan iemand met deze niet-bestaande bug", vraagt Rios zich af. "Het is te gebruiken om op afstand toegang te krijgen tot de SIMATIC HMI (Human Machine Interface) waarop allerlei industriële controle systemen en heel wat kritieke infrastructuur draait." Met andere woorden, het systeem overnemen zonder gebruikersnaam of wachtwoord te kennen.
Achterdeur
Rios zegt meer dan 1000 bugs in verscheidene applicaties te hebben gevonden en heeft gemeld aan het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) een onderdeel van het Amerikaanse Homeland Security-departement, dat leveranciers van de software opdraagt de bugs te repareren. Het is mogelijk dat Rios' melding aan ICS-CERT Siemens nooit heeft bereikt. Het kan ook zijn dat de bug sneller dan Rios had verwacht is gerepareerd. Het is niet bekend of de achterdeur van de SIMATICs-systemen die in gebruik zijn bij klanten, nog steeds met het default wachtwoord zijn te benaderen.
Na half jaar nog geen reactie
Rios hoopt dat softwareleveranciers hiervan leren hoe je vooral niet om moet gaan met beveiligers die de moeite nemen om gratis beveiligingsadvies geven en op kwetsbaarheden in softwarepakketten wijzen. Hij heeft een half jaar gewacht op actie van Siemens, die er volgens hem nog steeds niet is gekomen.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee