Nederlandse hackers ontdekken ernstige kwetsbaarheden in industriële software

Alexander Pil
27 april 2022

Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in verschillende systemen die in industriële omgevingen worden gebruikt om productieprocessen aan te sturen en te beheren. Tijdens de internationale hackerswedstrijd Pwn2Own in Miami demonstreerden zij dat kwaadwillenden hierdoor toegang kunnen krijgen tot deze systemen en deze kunnen overnemen waardoor productieprocessen ernstig kunnen worden verstoord. Met hun bevindingen wisten Keuper en Alkemade de wedstrijd te winnen en kregen zij een zogenaamde bug bounty van 90 duizend dollar. Dit is de tweede keer dat het hackersduo Pwn2Own wint. Vorig jaar kreeg het van Zoom al een beloning van 200 duizend dollar voor de kwetsbaarheden die werden gevonden in het video conferencing-platform.

Daan Keuper (l) en Thijs Alkemade onthullen een ernstige kwetsbaarheid tijdens de laatste ronde van hackwedstrijd Pwn2Own Miami 2022.

Tijdens Pwn2Own moeten hackers aantonen dat ze systemen kunnen overnemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken ze kans op beloningen. Deze editie van Pwn2Own stond in het teken van Industrial Control Systems (ICS). Hackers werden daarom uitgenodigd te zoeken naar kwetsbaarheden in verschillende categorieën industriële software en systemen.

Keuper en Alkemade vonden tijdens hun onderzoek onder meer kwetsbaarheden in de categorie Control Server-oplossingen die zorgen voor connectiviteit, monitoring en beheer van verschillende industriële systemen. De kwetsbaarheden werden aangetoond in de control servers Iconics Genesis64 en Inductive Automation Ignition en zorgen ervoor dat hackers systemen volledig kunnen overnemen.

Ook werden kwetsbaarheden geconstateerd in het OPC UA-vertaalprotocol dat door bijna alle ICS-producten wordt gebruikt om data te verzenden tussen systemen van verschillende leveranciers. Binnen de .Net-implementatie demonstreerden Keuper en Alkemade hoe ongeautoriseerd toegang verkregen kan worden en hoe daarmee de mogelijke werking van systemen kan worden beïnvloed. Bij de C++-implementatie werd een Denial-of-Service (DoS) gevonden die er in dit geval toe kan leiden dat systemen niet meer in staat zijn met elkaar te communiceren en daarmee platgelegd kunnen worden.

Verder identificeerden de hackers van Computest Security zwakke plekken in Aveva Edge. Dit systeem was het doelwit van onderzoek in de categorie Human Machine Interface. Met een HMI krijgen beheerders toegang tot verschillende hardware-onderdelen. Als een HMI wordt overgenomen door hackers, hebben beheerders geen inzicht meer in de status en mogelijke problemen met de hardware. Daardoor kunnen productieprocessen ernstig worden verstoord zonder dat dit direct wordt gesignaleerd.

Fabrieken interessant doelwit voor hackers

De bevindingen van Keuper en Alkemade laten zien dat hoewel de industriële wereld een inhaalslag maakt op het gebied van digitalisering, security nog onvoldoende aandacht krijgt. Keuper: ‘Wat we in ons onderzoek hebben gezien bij deze ICS-systemen, is vergelijkbaar met de kwetsbaarheden die eerder in zakelijke it-systemen zijn gevonden. Je zou het kunnen zien als kinderziekten, die echter grote gevolgen kunnen hebben voor productieprocessen die op hun beurt de gehele toeleverketen beïnvloeden. Voor organisaties die deze systemen gebruiken, is het belangrijk te realiseren dat nu fabrieken steeds meer software-gedreven worden, ze ook een interessant doelwit zijn voor hackers.’

Ook Louis Priem, consultant bij ICT, merkt dat er een groot verschil is tussen de manier waarop wordt omgegaan met de beveiliging van it-systemen versus industriële technologie. ‘Hoewel de impact van security-incidenten in deze omgevingen potentieel heel hoog is, is er minder security awareness en onvoldoende kennis om effectief om te gaan met interne en externe bedreigingen’, aldus Priem. ‘Omdat in systemen in fabrieksomgevingen doorgaans 24/7 draaien, is er zeer weinig gelegenheid om kwetsbaarheden te patchen. Bovendien is er veel legacy, omdat machines voor de lange termijn worden aangeschaft en is er doorgaans vooral bij oudere systemen geen mogelijkheid om antivirustoepassingen te installeren. Dit alles maakt de industriële sector kwetsbaar voor kwaadwillenden.’