Hacker onthult 7 maanden oude Siemens 0-day

Een security-expert heeft een remote te misbruiken beveiligingsgat in industriŽle software van Siemens geopenbaard. Hij heeft dit 7 maanden geleden aan Siemens gemeld.

Security-onderzoeker Billy Rios onthult zijn ontdekking op zijn eigen blog. Hij schrijft dat hij in zijn vrije tijd gaten in industriŽle systemen zoekt en die dan "verantwoordelijk" meldt aan de betrokken bedrijven en aan overheidsorgaan ICS-CERT (Industrial Control Systems Computer Emergency Response Team). Nu maakt hij echter een uitzondering.

'Siemens ontkent'
Het door hem in mei gemelde gat wordt namelijk door Siemens ontkend, stelt de hacker boos. Hij is daar achter gekomen doordat een verslaggever van Reuters navraag bij hem deed over beveiligingsgaten in de industriŽle beheersoftware Simatic. Toen bleek dat Siemens-woordvoerder Alex Machowetz persbureau Reuters had verteld dat er geen openstaande beveiligingskwesties zijn voor het omzeilen van remote authenticatie.

Die verklaring slaat specifiek op het gat dat Rios heeft ontdekt, gemeld en vervolgens netjes stilgehouden. De security-expert stelt dat hij in het afgelopen jaar zo'n duizend bugs heeft gerapporteerd, niet alleen in Siemens-procucten, waaronder een die kwaadwillenden van buitenaf toegang geeft tot Simatic-systemen. Die authenticatie-bypass komt neer op drie manieren waarop buitenstaanders binnen kunnen komen.

Default wachtwoord
De remote authenticatie heeft namelijk een default wachtwoord dat openlijk bekend ťn kinderlijk eenvoudig is: '100'. Bovendien stelt Siemens Simatic standaard drie toegangsdiensten open: web, VNC en Telnet. De webinterface vereist nog de gebruikersnaam 'Administrator', terwijl de remote-beheerdienst geen inlognaam nodig heeft.

Alledrie de diensten staan los van elkaar wat de authenticatie betreft, schrijft Rios. Het aanpassen van gebruikersnaam en/of wachtwoord voor de ene remote toegangsdienst heeft dus geen gevolgen voor de andere. Als klapper op de vuurpijl wordt het default wachtwoord automatisch weer van kracht als een gebruiker een ongeldig wachtwoord instelt, zoals ťťn met speciale tekens.

Aanval op watermaatschappij VS
Volgens Rios raakt dit in wezen elke gebruiker van Simatic-systemen. Die beheersoftware dient voor industriŽle apparatuur en kritieke infrastructuur, zoals fabrieken, energiecentrales, kernenergie-installaties ťn waterpompbedrijven.

Hij speculeert dat dit gat wel eens de open deur kan zijn geweest waarlangs vorige maand een hacker is binnengekomen bij een grote Amerikaanse watermaatschappij. Daarbij is het beheer overgenomen van de industriŽle SCADA-systemen (Supervisory Control And Data Acquisition) en uiteindelijk een waterpomp op afstand gesaboteerd.

Contact opnemen
Volgens Rios heeft Siemens-woordvoerder Machowetz aan Reuters verteld dat hij specifiek contact heeft opgenomen met de security-experts binnen het Duitse bedrijf. Die experts staan in contact met Rios. "Zij hebben me verteld dat er geen openstaande issues zijn met betrekking tot authenticatie bypass bugs bij Siemens", luidt de verklaring van Machowetz.

Webwereld probeert contact op te nemen met die woordvoerder, maar hij blijkt op kerstvakantie. Via Nederlandse en Duitse woordvoerders van Siemens zijn ook vragen over deze kwestie uitgezet.

"Voor alle andere leveranciers, gebruik dit alsjeblieft als les hoe je NIET om moet gaan met security-onderzoekers die jou gratis voorzien van security-advies en die een half jaar lang stil zijn geweest over remote authenticatie-omzeilingen voor je producten", blogt Rios. Hij redeneert dat hij nu openlijk kan praten over de door hem gemelde kwetsbaarheden aangezien er 'toch geen openstaande issues' zijn.