Exploits voor industriële systemen toegevoegd aan Metasploit

In de Metasploit-hackerstoolkit is een aantal exploits voor programmable logic controllers toegevoegd. Hiermee kunnen industriële systemen worden gekraakt. De Metasploit-ontwikkelaars hopen dat de bugs worden opgelost.

Tijdens een conferentie ontdekte een zestal onderzoekers kwetsbaarheden in evenzoveel plc's. Het gaat om systemen van onder meer Schneider Electric, General Electric en Koyo. Sommige plc's bevatten backdoors; bij andere servers was fuzzing mogelijk of kon de webinterface worden misbruikt.

Exploits voor de bugs in de General Electric-plc zijn nu toegevoegd aan het Metasploit-framework, dat is ontwikkeld om beveiligingsproblemen op te sporen. Daarmee ligt ook misbruik van deze beveiligingsprobleem op de loer. De ontwikkelaars van Metasploit zeggen echter dat ontwikkelaars van de plc's te laks zijn en dat de opname in het framework ervoor moet zorgen dat de bugs worden opgelost. Er zijn plannen om ook exploits toe te voegen die misbruik van andere plc's mogelijk maken.

Met plc's worden industriële beheersystemen aangestuurd. Plc's zijn vaak onderdeel van een scada-systeem, dat kan worden gebruikt om industriële systemen op afstand te bedienen. Veel van dergelijke systemen zijn echter slecht beveiligd en hangen soms zelfs rechtstreeks aan het internet, zoals de Nederlandse beveiligingsonderzoeker @ntisec aantoonde. Hij ontdekte met relatief weinig moeite een groot aantal scada-systemen dat rechtstreeks te benaderen was.

plc vulns

De ontdekte kwetsbaarheden: een rood kruis staat voor een eenvoudig te misbruiken lek, een uitroepteken betekent dat er in theorie misbruik mogelijk is, en bij een groen vinkje is er niks aan de hand

Door Joost Schellevis

Redacteur

Feedback • 20-01-2012 15:31 34

20-01-2012 • 15:31

34

Lees meer

30 jan 2012

Scada-beveiliging: een structureel probleem

97
Metasploit voegt sudo-exploit voor root-toegang toe
Metasploit voegt sudo-exploit voor root-toegang toe Nieuws van 8 september 2013
Expert vindt ophef om backdoor in militaire chip overdreven
Expert vindt ophef om backdoor in militaire chip overdreven Nieuws van 29 mei 2012
VS waarschuwt voor cyberaanvallen op gastransportnetwerken
VS waarschuwt voor cyberaanvallen op gastransportnetwerken Nieuws van 6 mei 2012
Minister Schultz: scada-systemen Rijksoverheid zijn veilig
Minister Schultz: scada-systemen Rijksoverheid zijn veilig Nieuws van 12 maart 2012
'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen'
'Nederlandse scada-systemen zijn kwetsbaar voor aanvallen' Nieuws van 14 februari 2012
D66 stelt Kamervragen over risico's scada-systemen
D66 stelt Kamervragen over risico's scada-systemen Nieuws van 31 januari 2012
Hackers beïnvloedden Amerikaanse treindienst
Hackers beïnvloedden Amerikaanse treindienst Nieuws van 24 januari 2012
Opera patcht lek en weerspreekt claims over laksheid
Opera patcht lek en weerspreekt claims over laksheid Nieuws van 19 oktober 2011
Zero day-exploit voor Opera gepubliceerd - update
Zero day-exploit voor Opera gepubliceerd - update Nieuws van 18 oktober 2011
Beveiligingsfirma wil Android-app vrijgeven voor uitvoeren penetratietests
Beveiligingsfirma wil Android-app vrijgeven voor uitvoeren penetratietests Nieuws van 7 augustus 2011
Microsoft waarschuwt voor stylesheet-bug in Internet Explorer
Microsoft waarschuwt voor stylesheet-bug in Internet Explorer Nieuws van 23 december 2010
Hacker Foundation: banden tussen witte hackers versterken
Hacker Foundation: banden tussen witte hackers versterken Nieuws van 25 maart 2007
Onderzoeker roept juli uit tot maand van de browserbug
Onderzoeker roept juli uit tot maand van de browserbug Nieuws van 8 juli 2006
Meer producten en artikelen
Privacy Beveiliging Bugs

Reacties (34)

-Moderatie-faq
34
32
23
8
0
7
Wijzig sortering
The Jester 20 januari 2012 19:04
Fabrikanten van PLC's hebben over het algemeen schijt aan de standaarden.
Ik zie het zelf erg veel met Siemens-spul. Die gebruiken een uniek MAC-adres voor LDP en daar kunnen switches die 802.11AB respecteren niet tegen: die zien MAC-flaps en gooien de switchpoorten dicht en dan staat de productie stil.....

Het is werkelijk schering en inslag. Je zou bijna denken dat ze bewust tegen de standaarden ingaan. Wij zijn zo ongeveer gedwongen om port security uit te schakelen en dat kan toch niet de bedoeling zijn. Ik kan natuurlijk wel rotgeintjes uithalen, zoals bijvoorbeeld de ARP-timeout op 2 seconden zetten, maar dat levert weer waanzinnig veel broadcastverkeer op. En dan nog: wat als er een stroomonderbreking komt en alle lijnen starten gelijk op, wanneer de spanning hersteld is: dan zit ik weer met disabled ports.

Enniewee: ik denk dat het een goede zaak is dat MetaSploit zich nu ook op SCADA-systemen richt. Als je op Siemens moet wachten om IEEE-compliant te worden, dan kun je wachten tot je een ons weegt. Een paar forse incidenten zouden zomaar eens het duwtje kunnen geven dat nodig is.
Dreeke fixed @The Jester20 januari 2012 20:56
Je zou het kunnen indienen als bug bij Siemens. De support afdeling fixed best wel wat bugs, zeker als je duidelijk kan maken wat er fout is en waarom dit zo verschrikkelijk slecht is. Verwacht geen bloemetje als dank....
plukke 20 januari 2012 20:16
Ben ik de enige dit dit nieuws enigsinds overdreven vind?

Ik ben zelf werkzaam in deze business. Ik heb op veel grote plants gelopen, en de systemen en omgevingen die bijvoorbeeld bij een grote oliemaatschappij staan zijn dusdanig afgeschermd van de buitenwereld dat daar niemand bijkomt zonder door 4 verschillende VPN lagen te moeten.

Voor de meeste communicatie tussen verschillende systemen (via OPC of een ander protocol) worden vaak alle security issues overboord gegooid on site als het niet werkt. Produceren is key, voor beveiliging interesseert niemand zich. Je zit daar echter altijd in een secured area. Beveiliging is moeilijk, want als er een kans bestaat dat het proces er door verstooord wordt krijg je gewoon geen toestemming.

Overigens zijn de systemen uit de pastebin omgeving zeer kleinschalige gebouwbeheer systeempjes. De eigenaren daarvan willen er graag makkelijk bij kunnen,dus staat het open. Echt schokkend vind ik dat niet.
Paul - K 20 januari 2012 15:37
Ik weet niet precies wat de impact is maar als ik die tabel zo zie, vind ik het er toch wel zorgwekkend uit zien :p
T-8one @Paul - K20 januari 2012 15:52
Dit zou de impact kunnen zijn: nieuws: 'Criminelen hacken waterinstallatie en vernielen waterpomp'
Mirved @T-8one20 januari 2012 20:03
Je vergeet het follow up artikel.

nieuws: FBI: geen bewijs dat waterpomp door hackers is vernield
Shamalamadindon @Paul - K20 januari 2012 15:41
Och dit zijn alleen maar het soort systemen die kerncentrales en de stormvloedkering runnen :)
Sentry23 @Shamalamadindon20 januari 2012 15:50
PLC's zijn 1 stap in beveiliging. Er boven hoort altijd nog een safety systeem te zitten (vaak uitgevoerd met hardwired logica) dat ingrijpt als het systeem buiten een aantal 'safe' waardes gaat lopen.
Loy @Sentry2320 januari 2012 16:20
Maar er bestaan ook safety-PLC's die al die veiligheidslogica zoals lichtschermen etc. in de gaten houden en dan de machine in veilige stand zetten.
En die safety-PLC's worden ook geconfigureerd, al dan niet via een netwerkverbinding.
Verwijderd @Shamalamadindon20 januari 2012 15:52
Om nog te zwijgen van machines in de voedselverwerking en cosmeticabranche, waaruit toch de nodige producten komen die door hele massa's mensen in- en op hun lijf gebruikt wordt. Een beetje creativiteit kan van een hele run producten iets giftigs maken. Een verdubbeling van de hoeveelheid zout in veel kant-en-klaar maaltijden is al genoeg.
Je hoeft er geen doden mee te maken ook - als jij 500 mensen een week van het werk houdt omdat ze met relatief kleine dingen bij de dokter zitten en thuis in bed liggen richt je ook heel wat schade aan én is het flink kassa qua angstzaaien.
Als het je wél lukt om iets echt giftigs te maken is de vraag trouwens of je door de kwaliteitscontrole komt met je gehackte product... tenzij de quality assurance ook grotendeels automatisch gaat. En dat gaat die bij veel bedrijven.
H@rry @Paul - K20 januari 2012 15:41
De impact kan zijn dat iemand ff een klepje open zet in een fabriek, en dat zou nog wel eens serieuze gevolgen kunnen hebben! Als je op de interface kan komen dan kan je ook alle kleppen schuiven etc. bedienen die in een fabriek aanwezig zijn.
Dreeke fixed @H@rry20 januari 2012 15:59
Zelf mis ik de grootste zoals Siemens, ABB en Yokogawa.

De bulk van deze installaties hangen echt wel achter een VPN inlog op het corporate netwerk, en dan nog met een inlog op de server voordat je ook maar iets kan bedienen.

En ben je daar dan zal de operator een onverwachte handeling ook wel detecteren, en anders zal het besturings programma de machines veilig stellen (bugs uitgezonderd).

Maar een beetje aandacht voor veiligheid is nooit weg.
Evilbee @Dreeke fixed20 januari 2012 16:08
Bulk van deze installaties hangen niet eens aan het corporate netwerk. Deze hangen aan een speciaal netwerk waar de "normale" kantoor gebruiker niet eens op kan komen.
Verwijderd @Evilbee20 januari 2012 16:42
Maar een engineer met een mogelijk besmette laptop wel.
Dreeke fixed @Verwijderd20 januari 2012 20:46
Daar heb je gelijk in, met het juiste virus ben je zo in het systeem. Het is hopelijk wel zo dat engineers een beetje beter opletten dan de gemiddelde gebruiker. Het is in de meeste fabrieken ook heel normaal dat je van je werkstation remote inlogt (een goeie engineer is een luie engineer :P ). Een virus op je werkstation of je thuis PC waarmee je onderhoud pleegd kan ook zo op scada-PC komen, zie stuxnet.
Cabbie_86 20 januari 2012 17:54
Momenteel werk ik in eenzelfde branche met eenzelfde producten.
Bij het project waar ik nu mee bezig ben wordt er bewust voor gekozen om het gehele netwerk niet op internet aan te sluiten. Alle pc's en systemen die dus op dat netwerk zijn aangesloten hebben geen toegang tot internet. Ook heeft elke pc in dat netwerk een virusscanner die dagelijks met de hand zal worden geupdate door middel van een centrale server (ePO).
Ook worden alle ongebruikte ethernet poorten bewust gedisabled zodat derden niet zomaar zijn of haar laptop kan inpluggen.
In een goed doordachte netwerkarchitectuur in een energiecentrale of raffinaderij zal er weinig kans zijn dat bepaalde virussen via het internet deze apparatuur kan aantasten.

Die rode kruizen in bovenstaande tabel zegt dus weinig over de bedreiging. Indien deze systemen toch aan het netwerk worden gehangen zonder enige proxy, firewall of enig andere Layer 3 beveiliging, is er wat mij betreft iets goed mis met het design van het netwerk.

[Reactie gewijzigd door Cabbie_86 op 26 juli 2024 12:23]

Garyu @Cabbie_8620 januari 2012 20:54
De wat slimmere virussen die van dit soort exploits gebruikmaken werken dan ook niet direct via het internet, denk aan Stuxnet.

Als ik bijvoorbeeld naar Amsterdam rijdt, bij Woodward binnenloop en in een onbewaakt moment een schaal met besmette USB-sticks bij de secretaresse neerzet, dan is er best een kans dat jij, of een van je collega's daar eentje van meeneemt, en en gebruikt. Als jij vervolgens met je laptopje onsite een update inspeelt bij een klant, dan zou ik dus alle beveiliging kunnen omgaan. Dit is misschien vergezocht, maar zo werkte Stuxnet ongeveer. Een beetje social engineering + een stukje (ok, een flink stuk) slim virusschrijven en je komt een heel eind.
corl @Cabbie_8620 januari 2012 18:17
Virus scanners van PC's lopen altijd achter de feiten aan, dus dat is geen enkele garantie dat er geen besmetting is op je netwerk. Indien 1 medewerker een besmette usb stick cd of iets ander mee heeft en gebruikt op zijn computer kan je proces al omzeep geholpen worden.
Ook ik werk momenteel aan een project met een veiligheids PLC met netwerk aansluiten (siemens PLC) en kan je zeggen dat er geen enkele beveiliging op de ethernet poorten zit (de enigste optie is om de poorten geheel uit te zetten, en dat is natuurlijk geen optie).
Via de ethernet poorten zijn alle register markers en datablokken volledig manipuleerbaar en volgens de fabrikant is dat normaal en is het aan de gebruiker om er maar een firewall oid voor te zetten. Deze houding is echt van de zotte en ik hoop dat deze berichten daar spoedig iets aan gaan doen.
Cabbie_86 @corl20 januari 2012 18:35
Natuurlijk, maar uiteindelijk staat of valt het zoals je ook aangeeft, alsnog toch bij de eindgebruiker en hoe deze omgaat met cybersecurity.
Er bestaat een organisatie genaamd Worldtech die dit soort apparatuur "cyber secure" probeert te maken.
Bassmaniac 20 januari 2012 15:57
Op het eerste gezicht een schrikbarende tabel met een hoop rode kruizen bij GE.
Echter wat mij dan opvalt is dat er bij Web N/A staat.
Houdt dit in dat ze geen web interface beschikbaar hebben, of dat er geen exploits in de web interface zitten?
In dat laatste geval heb je fysieke toegang tot de PLC nodig (of de centrale) om van de andere exploits gebruik te kunnen maken.
Dat maakt gelijk dat die rode kruizen dan iets minder heftig geïnterpreteerd kunnen worden, met fysieke toegang tot de PLC kun je veel meer schade aanrichten (je zit immers binnen de bedrijfsomgeving..)
Leuk dat je dan de PLC kan kraken maar als dat van binnenuit moet gebeuren zul je toch eerst een paar andere hordes moeten nemen!
corset @Bassmaniac20 januari 2012 16:00
Kan ook zijn dat ze web niet hebben (kunnen/willen) getest. Maar dat ze geen Web interface hebben lijkt me logischer. Maar dan alsnog, zouden die exploits er niet in moeten zitten.
Verwijderd @Bassmaniac20 januari 2012 16:44
edit2: Excuus, dit was een reactie op "lanerios, vrijdag 20 januari 2012 15:40"

[Reactie gewijzigd door Verwijderd op 26 juli 2024 12:23]

Biersteker 20 januari 2012 16:14
Ik neem aan dat dit alleen in de pro versie komt. En die heeft niet iedereen. (gezien de kosten ervan). Metasploit blijft een pentest pakket, wat gemaakt is om vulnerabilties, en exploits in je eigen netwerk te testen.
Torched @Biersteker20 januari 2012 19:57
Waarom zouden mensen die de intentie hebben met de plc's van een fabriek of weet ik wat te klooien hun software alleen legaal hebben ?
corset 20 januari 2012 15:40
Wow, general Electric staat er niet al te lekker voor als ik dat zo zie. Of ik ben totaal blind, wat ook goed kan zijn hoor.

Wel mooi dat ze dit zo aantonen zodat mensen eraan kunnen werken.
Verwijderd @corset20 januari 2012 17:11
off-topic/doem-scenario
Als ik me niet vergis was Fukushima ook gedesigned door GE.

edit: linkje erbij:
http://openchannel.msnbc....ima-have-23-sisters-in-us
Batiatus 20 januari 2012 15:54
Slecht van die bedrijven dat het op deze manier moet. Hopelijk gaan ze nu snel die bugs oplossen zodat de systemen geüpdatet worden. Dan is er ten minste een mogelijkheid om die bugs op te lossen, zonder een fix kan dit nogal gevaarlijk worden.
Bill_E 20 januari 2012 16:06
Ik mis Siemens en ABB. De 2 grootste namen in de industrie ?
EdVe 20 januari 2012 17:06
@ntisec heeft een pastebin-link bekend gemaakt op z'n twitter met verschillende IP's. Zit nu naar een boiler te kijken van St Benet's dormitory. Is nu wachten op de eerste meldingen van defecte apparatuur denk ik.
Dreeke fixed @EdVe20 januari 2012 20:52
Als de software een beetje goed is geschreven krijgen ze het alleen koud. Het lijkt er op dat deze IP's alleen van wat kleine installaties is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq