Homeland Security en ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) hebben gisteren een waarschuwing naar buiten gebracht. Deze waarschuwing betreft een aantal serieuze problemen in Siemens Industrial Control. Siemens Industrial Control software word gebruikt in de water, gas, olie en chemische industrie wereldwijd. De melding is extra belangrijk omdat volgens het ICS-CERT mogelijk is dat een aanvaller met basis tot medium kennis de problemen kan misbruiken.
Siemens heeft voordat het rapport publiek werd alle problemen opgelost. De software waar de fout in zat was de HMI server. De HMI server (Human Machine Interface) is de server welke zorgt voor de visualisatie van de processen zodat gebruikers kunnen zien wat er gebeurd.
De fouten in de software zorgde er niet voor dat een exploit remote gestart kan worden. Een aanvaller zou gebruik moeten maken van social engineering om login gegevens te ontvangen. Ook als een aanvaller de gegevens krijgt via social engineering is het noodzakelijk dat web-based access ingeschakeld is. Verder slaat de HMI server de wachtwoorden op voor de applicaties. Elke gebruiker met fysieke toegang kon deze wachtwoorden uitlezen.
Niet alleen het wachtwoord probleem is iets wat een groot risico vormt. Gebruikers met fysieke toegang kunnen de server laten crashen door middel van cross-site scripting. Volgens de onderzoekers is het mogelijk javascript in de app source te laden waarmee diensten aangepast kunnen worden zonder dat mensen dit zouden merken.
Siemens heeft een patch uitgebracht en adviseert al hun klanten (per e-mail) om de software te updaten naar versie 12. Extra beveiliging kan worden bereikt door het uitschakelen van de HMI webserver. De webserver is niet noodzakelijk voor de dienstverlening.
Het rapport kan hier gevonden worden.