Siemens tetter kritiske sikkerhetshull

Ble varslet i mai, og tetter i januar. Innrømmer samtidig nye sårbarheter.

Detalj fra et skjermbilde fra Simatic WinCC, et av Siemens-systemene med kritisk sårbarhet i autentiseringsrutinen.
Detalj fra et skjermbilde fra Simatic WinCC, et av Siemens-systemene med kritisk sårbarhet i autentiseringsrutinen. Bilde: Siemens
23. des. 2011 - 09:12

Digi.no skrev i går om oppsiktsvekkende sikkerhetshull i Scada-systemet Simatic fra Siemens, blant annet om hvordan standardpassordet «100» i visse tilfeller gjenopprettes automatisk når en administrator prøver å endre det.

    Les også:

Saken ble i går fulgt opp av en advarsel fra USAs offentlige kontrollorgan for kybersikkerhet i industrielle systemer, ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) som er underlagt Department of Homeland Security.

I advarselen Siemens SIMATIC HMI Authentication Vulnerabilities (pdf, 4 sider) listes alle variantene av Simatic med sikkerhetshull i autentiseringsrutinene.

Advarselen slår fast at Siemens har vært klar over disse manglene, og har til hensikt å utbedre dem gjennom «Service Packs» i løpet av januar 2012.

Dette bekreftes i en kort notis, datert 22. desember, på Siemens' nettsted for industriell sikkerhet. Her erkjennes innsatsen til Billy Rios – sitert i artikkelen til digi.no – og Terry McCorke som avdekket og varslet dem om sårbarhetene. Siemens innrømmer å ha blitt underrettet allerede i mai 2011.

Det er sårbarhetene avdekket i mai som skal rettes i januar. Siemens skriver at Rios og McCorke har meldt om ytterligere sårbarheter som de avslørte i desember. Disse sårbarhetene granskes nå. Det oppgis ingen tidsfrist for en eventuell fiks for de nyeste sikkerhetshullene.

Informasjonssjef Christian Jahr i Siemens Norge sa i går til digi.no at det finnes flere hundre installasjoner av Simatic i Norge.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.