54 lekken in server van Siemens voor elektriciteitscentrales

Onderzoekers van de beveiligers Positive Technologies, Kaspersky lab en Biznet Bilisim hebben eind 2018 de lekken doorgegeven aan Siemens. Met de lekken, die aangemeld zijn bij CVE, zijn onder meer DDoS-aanvallen mogelijk en arbitrary code execution. Daarnaast kunnen kwaadwillenden er bestanden met gevoelige informatie mee stelen, bestanden uploaden zonder authenticatie en bestanden lezen en schrijven op een lokaal bestandssysteem en logs en configuratiebestanden inzien. Daarmee kunnen op zijn minst storingen in de elektriciteitscentrale veroorzaakt worden.

Volgens Siemens is het misbruik van deze lekken moeilijk omdat dit vereist dat de aanvaller toegang heeft tot de netwerksegmenten Application Highway en Automation Highway. Als het systeem volgens de voorschriften van Siemens is opgezet, is toegang tot deze netwerksegmenten eigenlijk niet mogelijk. Vanuit het applicatienetwerk bestuurt de operator van de energiecentrale alles en verstuurt hij commando’s naar de server. De server is ook verbonden met het automation netwerk met apparatuur die verbonden is met machines van de elektriciteitscentrale. Bovendien worden volgens Siemens kwetsbare componenten meestal beschermd door een firewall.

Siemens werkt al enige tijd aan patches voor de lekken, maar heeft er nog maar drie geproduceerd. Klanten krijgen het advies om de servers af te sluiten voor alle mogelijke vormen van toegang via externe netwerken.