Windows

Onderzoekers vinden honderden onveilige gebouwcontrolesystemen

Middaggesprek 29 oktober 2020 - Onderzoek voor defensie II, met Bart Preneel en Luc De Vos

Middaggesprek 29 oktober 2020 - Onderzoek voor defensie II, met Bart Preneel en Luc De Vos
Anonim

Indringers binnendropen via ventilatiekanalen. Nu breken ze in met behulp van de software die de ventilatie regelt.

Honderden organisaties in heel Australië gebruiken verouderde industriële controlesystemen (ICS) om de lichten, verwarming en koeling, toegangscontrole en zelfs de liften te regelen.

Het gebruik van internet om gebouwen te beheren is handig, maar er kan een hoge prijs tegenover staan, wat nieuwe kansen biedt voor hackers.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

"Bedrijven hebben geen idee dit is zelfs internet toegankelijk ", zegt Billy Rios, technisch en consulting director voor Cylance, een beveiligingsbedrijf in Reston, Virginia.

Rios en een andere technische directeur van Cylance, Terry S. McCorkle Jr., onthulden eerder deze week dat een van Google's kantoren in Sydney gebruikten het NiagaraAX-platform van Tridium met een beveiligingsrisico dat hen had toegestaan ​​de verwarming op te voeren.

Meer dan 230.000 exemplaren van het NiagaraAX-platform, gemaakt door Honeywell-dochter Tridium, gevestigd in Richmond, V irginia, worden wereldwijd uitgevoerd.

Het op Java gebaseerde framework wordt gebruikt als basis voor toepassingen voor het beheer van geautomatiseerde beveiligings- en energiesystemen, verlichting en telecommunicatie.

Cylance vond het kwetsbare systeem van Google met Shodan, een zoekmachine die is ontworpen om apparaat aangesloten op het internet, variërend van koelkasten tot CCTV-camera's tot iPhones en windturbines.

Een zoekopdracht van Shodan laat zien dat Australië het op twee na hoogste aantal actieve internetgerichte NiagaraAX-systemen heeft, net achter de Verenigde Staten en Canada, met 658 systemen vanaf donderdagochtend. Meer dan 100 bevinden zich in Sydney. <> In hun onderzoek zei McCorkle dat doorgaans driekwart van de NiagaraAX-systemen verouderde software gebruiken. Die nieuwere versies hebben vaak nog steeds kwetsbaarheden. Cylance heeft in NiagaraAX problemen gevonden die het in het ergste geval mogelijk zouden maken om softwarebesturingen op hardwaresystemen te negeren.

Zelfs als een verwarmingssysteem is geprogrammeerd om de kamertemperatuur te beperken, zei Rios dat een van de kwetsbaarheden die ze in NiagaraAX vonden, zou toelaten in het geval van Google. "Tridium had een beveiligingspatch uitgegeven die de inbreuk zou hebben voorkomen, maar de patch was niet toegepast op het NiagaraAX-systeem dat op de site werd gebruikt", schreef Jenny Graves, de ondeugd van Tridium president voor marketingcommunicatie, in een e-mail.

Het NiagaraAX-platform wordt meestal geïnstalleerd en beheerd door andere bedrijven, systeemintegratoren.

"Het lijkt erop dat de integrators deze apparaten niet patchen," zei Rios. "Het probleem is dat de patch niet op het apparaat wordt toegepast op internet en dat is de verantwoordelijkheid van de integrator."

Graves zei dat Tridium blijft "werken met onze systeemintegrators en klanten om het probleem aan te pakken via seminars, forums en online training over best practices op het gebied van beveiliging. "

Met het systeem van Google bleek ook de integrator, een bedrijf genaamd Controlworks, inlog- en wachtwoordreferenties opnieuw te gebruiken voor het webgebaseerde configuratiescherm. "Het benadrukt de slechte beveiligingsmethoden die worden gebruikt door integrators over de hele wereld", zei Rios.

Controlworks, gespecialiseerd in gebouwautomatisering en energiemanagementsystemen, werkt systemen van klanten bij met patches tijdens onderhoud, zei Sharyn Gregory, de chief financial officer van het bedrijf. Sommige organisaties beheren echter hun eigen systemen.

Het bedrijf moedigt zijn klanten aan om sterke wachtwoorden te gebruiken, zei Gregory. Met Google, "we zijn zeker aan het onderzoeken wat er mogelijk is gebeurd, en we versterken ook ons ​​huidige beleid", zei ze.

Het NiagaraAX-systeem van Google was verbonden via een digitale abonneelijn waarvan het bedrijf misschien niet eens op de hoogte was, Zei Rios. Veel ICSes die door systeemintegrators zijn geïnstalleerd, zijn niet rechtstreeks opgenomen in de netwerken van een bedrijf, waardoor ze kunnen ontsnappen aan reguliere beveiligingsscans.

Hardwareapparaten met NiagaraAX kunnen ook twee netwerkpoorten hebben: één die is verbonden met de DSL-lijn die door de systeemintegrator wordt beheerd en de andere poort die is verbonden met het interne netwerk van het bedrijf, zei McCorkle.

De vergadering van die twee verbindingen is goud voor een hacker.

"Dat is een van de klassieke manieren waarop deze apparaten verbinding maken met het bedrijfsnetwerk," zei Rios. Aanvallers vinden de ICS op het internet, compromitteren het en gebruiken het "als een lelieblad om op het bedrijfsnetwerk te komen", zei hij.