Softwarefout in werkstations stelt industriële besturingssystemen bloot aan hacken

De software die wordt gebruikt om code te programmeren en te implementeren op verschillende industriële controllers van Schneider Electric heeft een zwakte waardoor hackers technische werkstations op afstand kunnen overnemen.

De software, bekend als Unity Pro, draait op pc's die worden gebruikt door ingenieurs en bevat een simulator voor het testen van code voordat deze wordt geïmplementeerd op programmeerbare logische controllers (PLC's). Dit zijn de gespecialiseerde hardware-apparaten die mechanische processen bewaken en besturen - draaiende motoren, openings- en sluitkleppen, enz. - in fabrieken, krachtcentrales, gasraffinaderijen, openbare nutsbedrijven en andere industriële installaties.

Onderzoekers van het industriële cyberbeveiligingsbedrijf Indegy ontdekten dat niet-geverifieerde aanvallers schadelijke code konden uitvoeren op Windows-computers waarop de Unity Pro PLC-simulator is geïnstalleerd. Die code zou worden uitgevoerd met privileges voor foutopsporing, wat zou leiden tot een compleet systeemcompromis.

Aangezien Unity Pro doorgaans wordt geïnstalleerd op technische werkstations, zou een compromis van die systemen aanvallers de mogelijkheid bieden om in-productie PLC's te herprogrammeren en cruciale processen te verstoren. Bovendien zouden ze hen toegang kunnen geven tot intellectueel eigendom, zoals geheime recepten voor producten die worden vervaardigd en die kunnen worden afgeleid van de legitieme programma's die worden gebruikt voor PLC's.

Volgens de Indegy-onderzoekers opent de Unity Pro PLC-simulator een netwerkdienst op werkstations die luistert op een specifieke TCP-poort en waarmee externe computers in een gepatenteerd formaat verpakte controlecode naar de simulator kunnen sturen.

Elke computer die via het netwerk met het technische werkstation kan communiceren, kan .apx-bestanden verzenden die door de Unity Pro PLC-simulator worden uitgevoerd zonder authenticatie. De simulator ondersteunt binaire formaten voor verschillende Schneider Electric PLC's, ook voor degenen die de x86-architectuur gebruiken.

De Indegy-onderzoekers ontdekten dat ze een .apx-bestand kunnen maken dat schadelijke x86-instructies bevat en dat de Unity Pro-software in een kindproces zal uitvoeren.

Het probleem is dat dit proces wordt uitgevoerd met debug-rechten op Windows, zodat je alles kunt doen wat je wilt met de machine, zei Mille Gandelsman, CTO van Indegy. Het doorbreken van dit proces is triviaal omdat er geen sandbox of code-isolatie is, zei hij.

Vanwege hun bevoorrechte positie zijn technische werkstations wat Gandelsman de kroonjuwelen van industriële controlenetwerken noemt. Zelfs als er firewalls zijn die PLC's scheiden van de rest van het netwerk, zullen technische werkstations altijd op de witte lijst staan ​​en met hen kunnen communiceren omdat dat hun rol is.

Volgens een beveiligingsadvies van Schneider Electric met betrekking tot dit probleem is er ten minste één beperkende factor: de aanval werkt alleen als er geen ander applicatieprogramma actief is in de PLC-simulator of als die applicatie niet met een wachtwoord is beveiligd.

Hierdoor staat de nieuw uitgebrachte Unity Pro versie 11.1 niet toe dat de simulator wordt gestart zonder een bijbehorende applicatie. "Het is echter aan de gebruiker om de Unity PRO-standaardapplicatie te selecteren die door de simulator moet worden gestart en om dit applicatieprogramma met een wachtwoord te beschermen", zei het bedrijf in het advies.

Schneider Electric reageerde niet direct op een verzoek om commentaar.

Een andere beperkende factor is dat een potentiële aanvaller al toegang moet hebben tot een computer op het netwerk die in de eerste plaats kan communiceren met het technische werkstation van Unity Pro.

Toegang tot een dergelijke computer kan op verschillende manieren worden verkregen, onder meer door malware-aanvallen, andere kwetsbaarheden en zelfs kwaadwillende insiders. Deze kwetsbaarheid benadrukt echter het belang van een goede netwerksegmentatie, waarbij industriële controlemiddelen, inclusief technische werkstations, worden geïsoleerd van het algemene IT-netwerk van een bedrijf.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.