Schneider Electric geeft momenteel firmware updates uit voor meerdere Ethernet communicatie modules en CPU’s in haar Modicon M340 PLC range. Dit vanwege een beveiligingsprobleem waardoor de apparaten gevoelig zijn voor inbreuk van buiten af. Hierdoor zijn de PLC’s op afstand te stoppen of te bedienen. Andere merken PLC’s en besturingssystemen zijn door gebruik van ‘default’ passwords te benaderen door derden.
Drives&Controls meldt op haar website dat het beveiligingsprobleem bij de Modicon PLC’s is ontdekt door het Amerikaanse industriële beveiligingsbedrijf CyberX. Door een extreem lang password in te typen van tussen de 90 en 100 karakters is eenvoudig in te loggen op het webserver van het betreffende apparaat. Er is geen username nodig en door eenvoudig ‘OK’ te klikken kan de PLC gestopt worden. Inmiddels heeft Schneider een Security Notification uitgegeven met een lijst van de betreffende apparaten en de te nemen maatregelen. Schneider heeft inmiddels nieuwe firmware verspreid voor enkele van de betrokken producten en gaat deze maand nog meer updates vrijgeven.
De US Industrial Control Systems Cyber Emergency Response Team (ICS-Cert) heeft een advies uitgegeven over dit beveiligingsprobleem, waarin wordt vermeld dat zelfs een laaggeschoolde hacker toegang tot de PLC’s kan krijgen. CyberX heeft het beveiligingsprobleem naar eigen zeggen in oktober 2015 aan Schneider gemeld.
Allen Bradley en Siemens
Volgens de website Dark Reading hebben ICS/Scada engineers uit Rusland, actief onder het Scada Strangelove team, een lijst gepubliceerd met populaire industriële systemen die met een default password worden verstuurd vanaf de fabriek naar de afnemer. Op deze ScadaPass lijst staan meer dan 100 producten, van PLC’s tot webservers van bekende fabrikanten als Allen Bradley, Siemens en Schneider Electric. Het was voor de engineers eenvoudig om informatie uit deze geïnstalleerde apparatuur te halen door het invoeren van standaard wachtwoorden zoals ‘admin.admin’, ‘password’, ‘root’ en ‘administrator’. Volgens de engineers is dit slechts het topje van de ijsberg aan ICS/Scada producten die met een default password worden voorzien.
“Doel van de publicatie van deze lijst is om de mindset te veranderen bij de fabrikanten van deze industriële producten,” aldus één van de initiatiefnemers van het Scada Strangelove team. “Ook industriële systemen moeten bij een eerste ingebruikname het standaard password wijzigen met een password dat complexer is. Vaak gebeurt dat niet, terwijl het hierbij wel om grote industriële systemen kan gaan zoals (nucleaire) power plants of waterzuiveringsinstallaties. Maar in de industrie geldt vaak voor operators het principe dat als het goed werkt, je niets meer moet veranderen.”
bron: Drives&Controls, Dark Reading
