Nederlandse hackers ontdekken ernstige kwetsbaarheden in industriële software

Alexander Pil
Leestijd: 3 minuten

Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in verschillende systemen die in industriële omgevingen worden gebruikt om productieprocessen aan te sturen en te beheren. Tijdens de internationale hackerswedstrijd Pwn2Own in Miami demonstreerden zij dat kwaadwillenden hierdoor toegang kunnen krijgen tot deze systemen en deze kunnen overnemen waardoor productieprocessen ernstig kunnen worden verstoord. Met hun bevindingen wisten Keuper en Alkemade de wedstrijd te winnen en kregen zij een zogenaamde bug bounty van 90 duizend dollar. Dit is de tweede keer dat het hackersduo Pwn2Own wint. Vorig jaar kreeg het van Zoom al een beloning van 200 duizend dollar voor de kwetsbaarheden die werden gevonden in het video conferencing-platform.

Tijdens Pwn2Own moeten hackers aantonen dat ze systemen kunnen overnemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken ze kans op beloningen. Deze editie van Pwn2Own stond in het teken van Industrial Control Systems (ICS). Hackers werden daarom uitgenodigd te zoeken naar kwetsbaarheden in verschillende categorieën industriële software en systemen.

Keuper en Alkemade vonden tijdens hun onderzoek onder meer kwetsbaarheden in de categorie Control Server-oplossingen die zorgen voor connectiviteit, monitoring en beheer van verschillende industriële systemen. De kwetsbaarheden werden aangetoond in de control servers Iconics Genesis64 en Inductive Automation Ignition en zorgen ervoor dat hackers systemen volledig kunnen overnemen.

Dit artikel is exclusief voor premium leden van High-Tech Systems Magazine. Al premium lid? Log dan in. Nog geen premium lid? Neem dan een premium lidmaatschap en geniet van alle voordelen.

Inloggen