Black Hat onthult ernstig lek in industriële software
Beresford was aanvankelijk van plan de onthulling te doen tijdens de TakeDownCon-hackersconferentie in Dallas vorige maand. Hij trok zijn bijdrage echter op het laatste moment terug om Siemens meer tijd te geven een oplossing voor het probleem uit te werken. Dat gebeurde nadat Siemens en het Department of Homeland Security hem de implicaties van een vroege onthulling hadden ingewreven.
Shutterstock
© Shutterstock
Software bevat zeker 6 kwetsbaarheden
De NSS-onderzoeker zegt nu begin augustus tijdens de Black Hat-conferentie alsnog zijn verhaal te doen. Het lek stelt kwaadwillenden in staat volledige controle over de S7 programmable logical control-eenheid te krijgen. Deze apparatuur wordt veel toegepast in de chemische industrie maar ook in kerncentrales en andere nutsbedrijven. In totaal ontdekte Beresford 6 verschillende kwetsbaarheden.
Patch werkte niet
Siemens had vlak voor de TakeDownCon een patch klaar voor de problemen maar die bleek niet voldoende bescherming te bieden. Om gebruik te maken van de lekken, moet een hacker op hetzelfde netwerk zijn als waar de SCADA-software die deze control-eenheden aanstuurt zich bevindt. Doorgaans zijn deze netwerken niet aangesloten op andere netwerken (zogeheten air gaps), maar het aantal netwerken dat toch te bereiken is via internet neemt snel toe, onder meer door de behofte beheer en controle op afstand uit te kunnen voeren.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee