Onderzoekers van Red Balloon Security hebben verschillende kwetsbaarheden ontdekt in de crypto-authenticatiechips in de S7-1500-serie industriële controllers van Siemens en in aanverwante producten.
De onderzoekerswerken al meer dan een jaar aan het probleem, maar Red Balloon heeft het pas onlangs naar buiten gebracht. Volgens de onderzoekers van Red Balloon Security kunnen aanvallers de beveiligde opstartfuncties van de controllers omzeilen en de besturingscode en gegevens kunnen wijzigen. Aanvallers zouden willekeurige gecodeerde firmware kunnen genereren die opstartbaar is op alle Siemens S7-1500 CPU-modules.
Door kwaadaardige firmware op een doelapparaat te flashen, hetzij fysiek of door misbruik te maken van een bestaande kwetsbaarheid voor het uitvoeren van code op afstand, kunnen aanvallers willekeurige code uitvoeren en mogelijk officiële beveiligings- en firmware-updates omzeilen. Omdat voor het misbruiken van de kwetsbaarheden fysieke manipulatie van het product nodig is, adviseert het bedrijf gebruikers het risico van fysieke toegang tot hun apparaten te beoordelen en maatregelen te nemen om ervoor te zorgen dat alleen vertrouwd personeel toegang heeft tot de hardware. Er wordt bijvoorbeeld voorgesteld om de betrokken apparaten in afgesloten kasten te plaatsen.
Behalve Simatic S7-1500 PLC’s gaat het ook om Simatic Drive Controllers (S7-1500 CPU’s in combinatie met Sinamics S120-aandrijfsystemen) en onderdelen van het Simatic ET 200Pro I/O-systeem. Door de gebreken in de chips kunnen aanvallers kwaadaardige code op de apparaten kunnen uitvoeren. Siemens heeft een lijst vrijgegeven van meer dan 120 producten die door de kwetsbaarheden worden getroffen. Omdat de gebreken verband houden met de controller-hardware, kunnen ze niet worden verholpen door software-updates of patches. Van verschillende producten de S7-1500-reeks zijn al nieuwe hardware-versies uitgebracht waarin de kwetsbaarheden zijn verholpen. Het bedrijf werkt aan nieuwe versies van de overige PLC’s.
De Pi-Pop is een e-bike zonder de gewone energiecellen. Hij werkt op kracht zonder lithium-ion,…
Straling vanuit de ruimte is een uitdaging voor kwantumcomputers, omdat hun rekentijd beperkt wordt door…
Na meer dan 40 jaar voor KSB te hebben gewerkt, gaat directeur Nico Gitz binnenkort…
3T Electronics & Embedded Systems, onderdeel van de Kendrion Group, heeft een nieuwe locatie in…
Een nieuw huisbeveiligingssysteem schiet indringers de tuin uit met paintballs of traangas. Het is te…
Om ervoor te zorgen dat er steeds meer hernieuwbare waterstof wordt geproduceerd in Nederland en…