Een ernstig beveiligingslek in een verkeerslicht controle systeem van fabrikant Swarco maakt het mogelijk om het systeem over te nemen en de werking van verkeerslichten te beïnvloeden. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid is die met een 10 beoordeeld.
Admin rechten
Het beveiligingslek, aangeduid als CVE-2020-12493, wordt veroorzaakt door een open debugpoort. Een dergelijke poort wordt vaak door ontwikkelaars gebruikt om problemen in een product te verhelpen. Het is meestal niet de bedoeling dat een openstaande debugpoort in het definitieve product achterblijft. In het geval van de LS4000 van Swarco was de debugpoort niet alleen zonder wachtwoord te gebruiken, het gaf gebruikers ook rootrechten.
Security-audit
Alleen het maken van een verbinding via de de debugpoort was zo voldoende om volledige controle over het systeem te krijgen. Het beveiligingslek werd gevonden door het Duitse securitybedrijf ProtectEM, dat voor een Duitse stad een security-audit uitvoerde. Peter Fröhlich, directeur van ProtectEM, laat tegenover SecurityWeek weten dat hij tijdens de audit voor de Duitse stad geen aanwijzingen heeft gevonden dat de Swarco-systemen via het internet toegankelijk zijn.
Zonder beveiliging voor de toegangspoort
Een aanval via fysieke toegang tot het verkeerslichten netwerk is dan ook waarschijnlijker. En vanwege de aard van dergelijke netwerken zijn die overal in de stad te vinden, aldus Fröhlich. "De toegang is bedoeld voor debugging. Het is dus geen bug of softwarefout die te misbruiken is. Het systeem is uitgerold met een configuratie die niet voor een productiesysteem is bedoeld, zonder beveiliging voor de toegangspoort", merkt de directeur op.
Contact opnemen
Swarco werd vorig jaar juli door het securitybedrijf geïnformeerd. Afgelopen april maakte de fabrikant een beveiligingsupdate voor klanten beschikbaar die de poort sluit. Steden en overheden die van de verkeerslicht systemen gebruikmaken worden dan ook opgeroepen om met Swarco contact op te nemen.
Swarco in meer dan zeventig landen
Vorige week dinsdag kwam het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, met een waarschuwing voor de kwetsbaarheid. De producten van Swarco worden in meer dan zeventig landen wereldwijd gebruikt.
Bron: nist, securityweek, cert, security