Secret account in mission-critical router opens power plants to tampering

"The branch of the US Department of Homeland Security that oversees critical infrastructure has warned power utilities, railroad operators, and other large industrial players of a weakness in a widely used router that leaves them open to tampering by untrusted employees. The line of mission-critical routers manufactured by Fremont, California-based GarrettCom contains an undocumented account with a default password that gives unprivileged users access to advanced options and features, (...)

The "factory account" makes it possible for untrusted employees or contractors to significantly escalate their privileges and then tamper with electrical switches or other industrial controls that are connected to the devices. (...)

They're also fluent in the Modbus and DNP communications protocols used to natively administer industrial control and supervisory control and data acquisition (SCADA) gear." 

Quelle: ars technica

Das derartige Schwachstellen noch immer existieren zeigt wohl auch, dass Menschen und Organisationen nicht aus Fehlern lernen ... 

Daher freut es uns besonders, dass wir Herbert Dirnberger als Leiter der Arbeitsgruppe SCADA//Industrial Automation gewinnen konnten. Ein Auszug aus dem Interview mit Elmar Török in "a+s zeitschrift für automation und security, # 3 / 2012" welche nächste Woche erscheint:

"Sicherheit hängt ja nicht nur von Produkten ab. Aber man kann schon sagen, dass es sowohl bei den Automatisierungskomponenten als auch bei den Angeboten von IT-Security-Herstellern einigen Nachholbedarf gibt. Es klappt auch nicht, die Systeme für die Office-IT einfach im Automatisierungsumfeld anzubieten, dazu gibt es zu große  Unterschiede in den Umgebungen. Zwar stammen beide eigentlich vom gleichen Ursprung ab, doch sie haben sich stark auseinanderentwickelt. Die IT denkt in großen Umgebungen, stark standardisiert und relativ starr. Automatisierung ist projektbezogen, extrem heterogen und sehr flexibel. Dazu kommt eine unterschiedliche Terminologie. Zum Teil reden Kunden, Berater und Hersteller aneinander vorbei."