Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in verschillende systemen die in industriële omgevingen worden gebruikt om productieprocessen aan te sturen en te beheren. Robots maken vaak een belangrijk onderdeel uit van deze systemen.
Tijdens de internationale hackerswedstrijd Pwn2Own in Miami lieten de hackers zien hoe kwaadwillenden toegang kunnen krijgen tot deze systemen en ze kunnen overnemen, waardoor productieprocessen ernstig kunnen worden verstoord. Met hun bevindingen wisten Keuper en Alkemade de wedstrijd te winnen en kregen zij een zogenaamde ‘bug bounty’ van 90.000 USD. Dit is de tweede keer dat het Nederlandse hackersduo Pwn2Own wint. Vorig jaar kreeg het van Zoom al een beloning van 200.000 USD voor de kwetsbaarheden die werden gevonden in het video conferencing-platform.
Tijdens Pwn2Own moeten hackers aantonen dat zij systemen kunnen overnemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken zij kans op beloningen. Deze editie van Pwn2Own stond in het teken van Industrial Control Systems (ICS). Onder de naam ‘Smart Industry’ wordt de maakindustrie versneld gedigitaliseerd. Hackers werden daarom uitgenodigd te zoeken naar kwetsbaarheden in verschillende categorieën industriële software en systemen.
Kwetsbaarheden in systemen Iconics, Inductive Automation en Aveva
Keuper en Alkemade vonden tijdens hun onderzoek onder meer kwetsbaarheden in de categorie Control Server-oplossingen die zorgen voor voor connectiviteit, monitoring en beheer van verschillende industriële systemen. De kwetsbaarheden werden aangetoond in de control servers Iconics Genesis64 en Inductive Automation Ignition en zorgen ervoor dat hackers systemen volledig kunnen overnemen.
Ook werden kwetsbaarheden geconstateerd in de categorie OPC Unified Architecture (UA). Dit is het universele vertaalprotocol dat door bijna alle ICS-producten wordt gebruikt om data te verzenden tussen systemen van verschillende leveranciers. Binnen de .NET implementatie demonstreerden Keuper en Alkemade hoe ongeautoriseerd toegang verkregen kan worden en hoe daarmee de mogelijke werking van systemen kan worden beïnvloed. Bij de C++ implementatie werd een Denial-of-Service (DoS) gevonden. Een DoS kan er in dit geval toe leiden dat systemen niet meer in staat zijn met elkaar te communiceren en daarmee platgelegd kunnen worden.
Verder identificeerden de hackers van Computest Security zwakke plekken in AVEVA Edge. Dit systeem was het doelwit van onderzoek in de categorie Human Machine Interface (HMI). Met een HMI krijgen beheerders toegang tot verschillende hardware-onderdelen. Als een HMI wordt overgenomen door hackers, hebben beheerders geen inzicht meer in de status en mogelijke problemen met de hardware. Daardoor kunnen productieprocessen ernstig worden verstoord zonder dat dit direct wordt gesignaleerd.
Fabrieken interessant doelwit voor hackers
De bevindingen van Keuper en Alkemade laten zien dat hoewel de industriële wereld een inhaalslag maakt op het gebied van digitalisering, security nog onvoldoende aandacht krijgt. Keuper: “Wat we in ons onderzoek hebben gezien bij deze ICS-systemen is vergelijkbaar met de kwetsbaarheden die eerder in zakelijke IT-systemen zijn gevonden. Je zou het kunnen zien als kinderziekten, die echter grote gevolgen kunnen hebben voor productieprocessen die op hun beurt de gehele supply chain beïnvloeden. Voor organisaties die deze systemen gebruiken is het belangrijk te realiseren dat nu fabrieken steeds meer software-gedreven worden, ze ook een interessant doelwit zijn voor hackers.”
Ook Louis Priem, consultant bij ICT Group merkt dat er een groot verschil is tussen de manier waarop wordt omgegaan met de beveiliging van IT-systemen versus industriële technologie, waarin zijn organisatie is gespecialiseerd. “Hoewel de impact van security-incidenten in deze omgevingen potentieel heel hoog is, is er minder security awareness en onvoldoende kennis om effectief om te gaan met interne en externe bedreigingen. Omdat in systemen in fabrieksomgevingen doorgaans 24/7 draaien, is er zeer weinig gelegenheid om kwetsbaarheden te patchen. Bovendien is er veel legacy, omdat machines voor de lange termijn worden aangeschaft en is er doorgaans vooral bij oudere systemen geen mogelijkheid om antivirus-toepassingen te installeren. Dit alles maakt de industriële sector kwetsbaar voor kwaadwillenden”, aldus Priem.
Bewustzijn security connected systemen vergroten
Vorig jaar werden Keuper en Alkemade ook uitgeroepen tot winnaars van Pwn2Own met hun onderzoek naar Zoom. Zij slaagden er toen in de Zoom client helemaal over te nemen en acties uit te voeren zoals de camera en microfoon aanzetten en e-mails lezen. De onderzoeken van Computest Security worden uitgevoerd binnen het eigen lab, Sector 7. Keuper: “Door continu te zoeken naar kwetsbaarheden in connected systemen voor bedrijven en consumenten blijven we niet alleen onszelf uitdagen, maar willen we ook bewustzijn creëren bij gebruikers zodat zij niet klakkeloos met systemen aan de slag gaan zonder serieus naar de beveiliging te hebben gekeken.”