Klimaatsysteem TNO kwetsbaar door Siemens-lek

Een webinterface van een bedieningspaneel dat voor klimaatapparatuur bij TNO wordt gebruikt, was kwetsbaar door een lek in industriële software van Siemens. Via het lek waren de webserver en eventuele geheugenkaarten te benaderen.

Security-onderzoeker Billy Rios ontdekte zeven maanden geleden een kwetsbaarheid in Siemens Simatic-systemen. Het beheer via het web, via VNC en via Telnet zou voor iedereen open hebben gestaan door het gebruik van een simpel default-wachtwoord bij de webinterface, in combinatie met gebruikersnaam 'Administrator'. Na het invoeren van een ongeldig wachtwoord zou het default-wachtwoord hersteld worden. Siemens zou niet gereageerd hebben op meldingen van Rios, waarna hij tot publicatie overging.

Rios laat weten dat veel kwetsbare systemen te vinden zijn via de Shodan-zoekmachine, die als portscanner is in te zetten. Webwereld constateerde dat er een Nederlands ip-adres met een openstaand Simatic-systeem kon worden gevonden, dat te herleiden was tot TNO.

De desbetreffende webinterface behoorde bij de Simatic MP 277 10: een 10"-touchscreen dat bij TNO dient als bedieningspaneel voor een klimaatkamer waarin het instituut metingen doet met verschillende temperaturen en luchtvochtigheid. Het zou niet om een kritiek systeem gaan. Wel gaf de webinterface toegang tot een bestandsbrowser waarmee de map van de webserver te benaderen was. Ook geheugenkaarten en usb-sleutels met daarop logs, parameters en configuratiebestanden waren te benaderen. Ten slotte zou 'user administration data' te uploaden zijn geweest, zodat een kwaadwillende een .pwl-bestand met eigen inlogaccounts kon toevoegen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 22-12-2011 17:09 21

22-12-2011 • 17:09

21

Lees meer

'Portscanner kan hele internet in 3 minuten scannen'
'Portscanner kan hele internet in 3 minuten scannen' Nieuws van 16 september 2013
Onderzoeker demonstreert zwakheden in industrieel beheersysteem
Onderzoeker demonstreert zwakheden in industrieel beheersysteem Nieuws van 4 augustus 2011
Netwerk en systeembeheer Siemens Beveiliging

Reacties (21)

-Moderatie-faq
21
21
15
5
0
3
Wijzig sortering

Sorteer op:

Weergave:
The_Butler 22 december 2011 17:26
Veiligheid is een beetje een ondergeschoven kindje geworden in de industriele automatisering. Ik vraag me af wanneer het eens goed uit de klauwen loopt en een kwaadwillende toegang krijgt tot de transformator huisjes van de NS of via een omweg op het netwerk van een chemische fabriek kan komen... Het probleem is denk ik dat het gros van de werknemers in deze industrie alleen verstand hebben van PLC programmeren en de industriele apperatuur die daar aan hangt, van beveiligingen en welke poorten en accounts er standaard aanstaan hebben ze geen benul. Naar mijn weten heb ik maar drie grote bedrijven gezien waar hier goed over is nagedacht - en waar dus in de speceficatie expliciet over veiligheid wordt gepraat. Je zou denken dat na de Siemens worm in Iran iedereen zich nog eens achter de oren is gaan krabben, maar nee....

Wat je vaak ziet is dat kritieke PC's niet aan een bedrijfsnetwerk hangen, en dus niet bij de lokale IT afdeling horen. Deze PC's zitten meestal vol met spyware en andere ongein. En als deze PC wel aan een netwerk hangt is deze nogsteeds in de meeste gevallen niet in het beheer van afdeling IT, het OS wordt niet up to date gehouden en als je mazzel hebt krijgt alleen de virus scanner zo nu en dan een patch. Vaak hebben deze machines ook nog de meest simpele wachtwoorden, VNC account die open staan etc...

Het artikel heeft het over een klimaat systeempje, het is nogmaals wachten tot er echt iets ergs gebeurt voordat de industrie dit serieus gaat nemen vrees ik...
dvz89 22 december 2011 18:02
Er staan er heel wat open: https://www.google.com/?#q=%22SIMATIC+HMI+Miniweb+on%22

Hoe een systeem het password kan resetten bij een speciaal character is onbegrijpelijk. Dat er zoveel passwords niet veranderd worden des te meer.
moguez 22 december 2011 19:23
mja, het is ook de klant die beslist en soms niet beter weet.

ik zit in de automatisering waar we veelal Siemens gebruiken met een Scada systeem.
hier zit ons login in en 1 van de klant.
echter op die panels is er steeds een standaard user/psswd die de klant niet wilt wijzigen wat tot ongeoorloofd bediening kan leiden.

nu zeker dat alles op industriele ethernet zit moet alles goed dicht getimmerd worden.
ik zie dikwijls wanneer vpn-verbindingen worden aangelegd door het lokaal it-afdeling dat wanneer je binnen bent dat je overal aankan.

dat de industrie een beetje achterna holt op de ict-wereld is niet meer dan logisch.
vroeger zat de industriele automatisering met eigen protocollen (profibus, asi,...) waar nu profinet (industriele ethernet) de plaats van ineemt.

nog een belangrijk punt is dat de marges op automatiseringsprojecten veel kleiner zijn dan in de ict-wereld wat een niet volledig door ontwikkeld of geimplementeerd beveiligingsbeleid wordt toegepast.
Klaassie 23 december 2011 00:50
Hier wordt weer van een mug een olifant gemaakt.
Begrijpelijk van die security onderzoeker, hij moet zijn business promoten. Minder begrijpelijk van de media die hier direct op duiken.

Natuurlijk, dom van TNO om het panel direct aan internet te hangen. Zorg dan minimaal voor verbinding via een VPN. Maar er is een goede kans dat de betreffende applicatie niet echt bedrijfskritisch was en er eigenlijk geen risico's waren die de kosten van beveiliging in hun ogen rechtvaardigden.

Vaak kost beveiliging veel meer dan het ooit op kan leveren, zie ook het verhaal van de vergeten wachtwoorden. De mate van benodigde beveiliging zal van geval tot geval bekeken moeten worden, afhankelijk van de mogelijke risico's. Dus misschien was er hier helemaal niet zoveel aan de hand. En om dan gelijk Siemens zo bekritiseren... Het gros van de MP270 panels zit in fabrieken, op interne netwerken. Zeker voor kritische applicaties is het niet de bedoeling om die direct aan internet te hangen.

Verder gebruik ik zelf ook die panels, heb ook wel eens een verkeerd wachtwoord ingevoerd, maar heb het nog nooit meegemaakt dat het standaard wachtwoord daarmee werd hersteld. Ik ben dus wel benieuwd naar de specifieke details van deze zogenaamde hack.

De enkele keer dat er ingebroken wordt (of zelfs kan worden) op een industrieel automatiseringssysteem is direct groot nieuws, terwijl op veel plaatsen systemen nog veel gemakkelijker te saboteren zijn door over een hek te klimmen en bijvoorbeeld een slang of kabel door te knippen... :)

Edit na doorlezen van de bronnen:
"Na het invoeren van een ongeldig wachtwoord zou het default-wachtwoord hersteld worden."
Het blijkt hier te gaan om een fout van de gebruiker bij het instellen van een wachtwoord. Wanneer de gebruiker bijvoorbeeld een wachtwoord in wil stellen met daarin tekens die niet ondersteunt worden, dan wordt dit wachtwoord niet geaccepteerd.
Gaat echt helemaal nergens over dus.

[Reactie gewijzigd door Klaassie op 25 juli 2024 09:17]

Timo002 22 december 2011 17:12
Deutsche gründlichkeit noemen ze dat dan! Het stuxnet virus ging ook al via Siemens... Ze doen het goed de laatste tijd!

Moet zeggen dat het me er niet geruster op maakt als de industriële standaarden ook interessant worden om te hacken! Cyberwar is dan goed te voeren!

[Reactie gewijzigd door Timo002 op 25 juli 2024 09:17]

OverSoft @Timo00222 december 2011 18:04
Het Stuxnet virus ging helemaal niet via Siemens... Het verspreide via zero-days in Windows en targette Siemens PLC controllers puur en alleen omdat dit de controllers waren die in Iran gebruikt werden. PLC controllers die direct aan een computer hangen kunnen altijd openlijk geprogrammeerd worden, omdat deze niets anders doen dan simpele commando's opvolgen, er zit (over het algemeen) geen netwerk interface op een PLC.
plukke @OverSoft23 december 2011 07:51
er zit (over het algemeen) geen netwerk interface op een PLC.
Vrijwel geen enkele moderne PLC hoeft het nog te stellen zonder een ethernet aansluiting. Zelfs sommige safety-PLC's zijn gewoon via ethernet benaderbaar. Zou niet best wezen als ze alleen nog via een speciale programmeerkabel te programmeren en/of debuggen zouden zijn. Dat zou betekenen dat ik voor sommige locaties hele goede wandelschoenen met stalen neuzen moet aanschaffen :)

Daarnaast is fysieke scheiding tegenwoordig gewoon niet meer haalbaar. Klinkt in theorie erg leuk maar is in de praktijk gewoon een fabeltje. Wil je als bedrijf een beetje fatsoenlijk kunnen meedraaien in de markt is het gewoon bittere noodzaak dat je informatie uit je control/safety laag automatisch in allerlei statistische pakketen terecht komt. Niet alleen voor de klassieke SCADA taken (dus remote bediening en monitoring) maar ook voor analyse op office level.

Denk bij deze analyse aan bijvoorbeeld het scenario dat er meerdere afsluiters van het zelfde type in een bedrijf gebruikt worden. Als die afsluiters op 150 locaties zitten, en er vallen 10 van die afluiters na 2000 open/close bewegingen uit dan kun je daar met allerlei leuke tools analyses op loslaten om te bepalen welke afsluiters je als eerste moet gaan vervangen.

En tot slot iets heel anders, vergeet patch management en anti virus updates. Er zijn bepaalde systemen (oa Siemens PCS7) die je hier volledig mee over de zeik kan helpen. Een verkeerde windows patch uitrollen en je plant (en alle plants die er up of downstream aan vast hangen) gaan uit. Dat is pas een safety en economisch risico. Dat is ook de reden dat system integrators hun spullen vrijwel niet patchen of anti virus updates uitrollen. De main focus van een integrator ligt meestal op het feit dat ze iedereen uit de windows shell willen houden.

[Reactie gewijzigd door plukke op 25 juli 2024 09:17]

Verwijderd @OverSoft23 december 2011 09:42
Het Stuxnet virus ging helemaal niet via Siemens... Het verspreide via zero-days in Windows en targette Siemens PLC controllers puur en alleen omdat dit de controllers waren die in Iran gebruikt werden.
... en het kon toegang krijgen tot die PLC's door middel van een hardcoded default wachtwoord.
0rbit @Timo00222 december 2011 17:18
Siemens doet zelf maar bar weinig meer. Zoals ik ze uit mijn werkpraktijk ken is het veelal niet meer dan een bank voor technologie geworden. Ze hebben geld en kopen daarmee succesvolle kleine bedrijven op. Sommige van die bedrijven zijn erg succesvol en draaien winst of hebben een goedlopend produkt dat dan onder de naam van Siemens uitgebracht wordt. Andere bedrijfjes worden weer afgestoten of compleet geintegreerd of samengevoegd. Soms wordt er onder een andere naam wat verkocht, waar Siemens dan toch weer direct aan verdient. Geld waarmee Siemens dan weer andere bedrijfjes kan opkopen... etc.

Dit is waarschijnlijk ook een van de oorzaken dat het geheel soms niets meer met Deutsche Gründlichkeit van doen heeft; Een wir-war aan produkten die niet in eigen beheer ontwikkeld worden, maar op het juiste moment aangekocht worden.

[Reactie gewijzigd door 0rbit op 25 juli 2024 09:17]

sanas @0rbit22 december 2011 18:52
Klopt, kregen hier een paar keer een fout melding bij het gebruik van Siemens apparatuur. Er zijn toen nog speciaal mensen van Siemens langs gekomen om het probleem op te lossen met als antwoord: Het werkt niet meneer het probleem is bekend maar er is geen oplossing voor. en dan laten ze je fijn zitten met de dure apparatuur.
artificial_sun 22 december 2011 17:21
In de PLC/DCS systemen zitten ook leuke default logins voor operators. Blokkeren ze (de system integrators) fucties voor operators, laten ze een default login staan waarmee je volledig toegan hebt.

Het is volgens mij trouwens een fout van TNO dat je überhaupt op hun interne netwerk kunt komen, zonder dat jou computer gematcht is aan hun servers.
Iblies @artificial_sun22 december 2011 17:53
Vind je het gek. Bij grotere bedrijven worden vaak servicecontracten afgesloten met verschillende bedrijven, en het is juist hun gemak dat de standaard passwords blijven. Ik heb gezien dat er complete plc's werden teruggestuurd om te worden gereset. Dat kon of mocht niet zelf gedaan worden ivm certificering. Sta je daar achter een apparaat van 4 mln euro dat niks doet omdat de passwords niet bekend zijn en je ook de mogelijkheid niet hebt om daar inzicht in te krijgen.

Overigens gebeurde dit nadat een contract met een vorig bedrijf werd beëindigd en je kreeg niet tijdig inzicht in de documentatie. Middenkader stond erop dat vervolgens alle passwords duidelijk werden genoteerd, servicebedrijf hield de standaard wachtwoorden aan,
bij verlies zouden zij aansprakelijk kunnen worden gesteld, zelfs als het contract was beëindigd.
SPvanG @artificial_sun22 december 2011 20:00
Niet zo snel. Organisaties als TNO hebben niet één enkel 'intern netwerk', maar verschillende netwerken voor verschillende taken met verschillende beveiligingsniveaus. Doorgaans zijn deze fysiek gescheiden. Zeker bij TNO.

Om welk netwerk het hier precies gaat is mij niet duidelijk, maar 'de webserver' lijkt mij de webserver van de Simatic MP 277 10 en niet die van www.tno.nl, bijvoorbeeld.
Plopeye 22 december 2011 18:04
Ik ben zelf systeembeheerder in een industriele omgeving en heb al enige jaren kritiek op het ontbreken van welke vorm van security dan ook. We hebben dan ook de policy dat dit soort componenten in een afgeschermd netwerk zitten zonder internet toegang.

Siemens maar ook andere PLC en besturings fabrikanten maken van security een puinhoop. Aan de andere kant heb je gebruikers die bepaalde functies wel willen gebruiken, gevolg hoofdpijn bij systeembeheer...
Romke 22 december 2011 18:56
Tsja, dit is nog maar een topje van een enorme ijsberg. Security is een vies woord in de industriële automatisering. Het zit alleen maar in de weg en men is al blij als het met zoveel mogelijk settings los (Firewall uit, antivirus uit etc.) werkt, en dat is gezien de omstandigheden (klanten die voor een dubbeltje.. nee.. een stuiver op de eerste rang willen) ook niet zo raar.
Het begrip met betrekking tot en kennis van security is er bij veel engineers inderdaad ook niet. 'Niet aan het internet' is veilig, iedereen onder dezelfde account die alle rechten heeft etc.

Het is wat IT en security betreft een wereld die een jaar of 10 achterloopt op de 'gewone' IT, nog veel meer een cowboywereld die in de IT allang niet meer gebruikelijk is.
TMon 22 december 2011 17:18
tuurlijk gaat stuxnet via Siemens, want er zijn nagenoeg geen andere spelers op die markt....
D-Three @TMon22 december 2011 17:57
Er zijn net wel veel spelers op die markt. Iedere programmeerbare logische controller die een proces en dergelijk kan aansturen, is een PLC. En daarvan zijn er genoeg fabrikanten. Echter is het wel zo dat Siemens één van, zoniet de grootste/bekendste is. Maar andere grote spelers zijn onder andere Omron, Allen-Bradley, Beckhoff, Saia, ABB, Mitsubishi.
Timo002 @D-Three22 december 2011 18:13
Modicon / Schneider Electric niet te vergeten!

Ik zit in de industriële automatisering, en je merkt toch dat veel bedrijven neigen voor Siemens te kiezen. Maar als je ze vraagt waarom... Dan blijft het stil! Het gevoel dus.

Zelf ben ik voornamelijk bekend met Schneider Electric! Onze machine's gebruiken die logica en ik zie geen enkele reden in waarom dat Siemens zou moeten worden! De machine functioneert er niets beter door en wordt alleen maar duurder. Siemens hardware is nu eenmaal duurder..
Antwan46 @D-Three22 december 2011 20:10
Philips doet ook mee hoor, alleen die dingen van hun hangen niet buiten, waar iedereen bij kan.
TLa 22 december 2011 18:45
Dit is eigenlijk de schuld van de integrator (de firma die de hardware van Siemens koopt), zo'n MP270 is niet gemaakt om op het internet te hangen, die dient in een volledig intern netwerk te hangen, wil je hem toch bedienen vanop internet, dan moet je de toegang van buitenaf op netwerk niveau instellen.
Standaard wachtwoord op Siemens materiaal is trouwens meestal iets heel simpel (100 of 1111 of 111111 of 1234 of 123456) omdat gebruikers nu eenmaal dom zijn. Het is aan de integrator om de beveiliging juist toe te passen en eventueel wachtwoorden in te stellen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq