Zoom-hackers kraken ook industriële it

Ethische hackers van Computest toucheren in Miami een bug bounty van 90.000 dollar

Dit artikel delen:

Thijs Alkemade en Daan Keuper (r) (foto: Computest)

Daan Keuper en Thijs Alkemade hebben in Miami een prijs gewonnen voor de ontdekking van kwetsbaarheden in industriële it-systemen. De Nederlandse ethische hackers, die vorig jaar faam maakten door een beveiligingslek in videovergadertool Zoom bloot te leggen, strijken een bug bounty van 90.000 dollar op.

Het duo demonstreerde tijdens de internationale hackerswedstrijd Pwn2Own dat onbevoegden toegang kunnen krijgen tot systemen die in industriële omgevingen worden gebruikt voor aansturing en beheer van productieprocessen. Ze gebruikten een tot dusver onbekende kwetsbaarheid, ofwel een zero-day. Al bij de voorbereidingen ontdekten ze meerdere beveiligingslekken. Volgens het tweetal besteedt de industriële wereld onvoldoende aandacht aan de digitale beveiliging, wat de systemen een interessante doelwit maakt.

De nieuwe ontdekking levert Keuper en Alkemade een flink geldbedrag op en een bestendiging van hun aanzien in de gemeenschap van ethical hackers. De twee medewerkers van het Zoetermeerse cybersecuritybedrijf Computest legden bij de vorige editie van hetzelfde event een grote kwetsbaarheid in de software van Zoom bloot (zie kader onderaan). Toen gingen ze met 200.000 dollar naar huis, dat bedrag werd beschikbaar gesteld door het videoconferencingbedrijf.

Control servers

Het tweetal onderzocht verschillende industriële systemen en vond zwaktes in control servers Iconics Genesis64 en Inductive Automation. Dat zijn oplossingen die zorgen voor de connectiviteit, monitoring en het beheer van industriële systemen.

Ook constateerde het duo kwetsbaarheden in zowel de .Net-implementatie als de C++-implementatie van OPS Unified Architecture, het universele vertaalprotocol waarmee systemen van verschillende leveranciers gegevens kunnen uitwisselen. Er waren bovendien zwakke plekken in Aveva Edge. Dat is  software die beheerders toegang geeft tot hardware-onderdelen. Tussenkomst door kwaadwillenden vertroebelt het inzicht in de status van de hardware.

Zoom doorgelicht

In 2021 lichtten Alkemade en Keuper Zoom Messenger door in het kader van de wereldwijde hacking-wedstrijd Pwn2Own 2021. Deelnemers moesten hun pijlen richten op Microsoft Edge, Zoom Messenger of andere veelgebruikte software als Microsoft Exchange of Apple Safari. De specialisten van Computest vonden ernstige tekortkomingen in Zoom. Sinds de competitie in april 2021 mogen Keuper en Alkemade zich tooien met de eretitel ‘Master of Pwn’. 

‘Op zichzelf is het niet zo moeilijk onvolkomenheden in de software te vinden. Wij hadden de kwetsbaarheden in Zoom in anderhalve week boven water’, vertelde Keuper later aan Computable. ‘Het meeste werk gaat zitten in het maken van de exploit. Je moet immers kunnen laten zien dat je werkelijk in staat bent om van buitenaf een computer van een ander te kunnen overnemen. Daar zijn we anderhalve maand mee bezig geweest.’ Zoom toonde zich bijzonder ingenomen met de bevindingen van het tweetal en beloonde de ontdekking met tweehonderdduizend dollar.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-04-22T15:44:00.000Z Diederik Toet


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.