doorTijl Deneut
APT Detectie voor ICS
Industrial Network Monitoring Tools komen in veel vormen en maten. Dat er heel wat parameters zijn die een rol spelen staat ook buiten kijf, want deze tools moeten niet alleen heel goed zijn om “gewoon” IT verkeer te detecteren en onderzoeken, maar daar bovenop ook de wondere wereld van industriële protocollen begrijpen. Deze twee werelden; in de volksmond vaak IT / OT genoemd; botsen vaak met elkaar en dat op meer dan één manier.
Eén van de belangrijke parameters, als je naar de kern van de zaak gaat, is uiteraard aankoop prijs. En dan is er uiteraard een zeer interessante ondergrens: €0.
doorTijl Deneut
Beckhoff CVE-2019-16871
Windows Remote Code Execution via TwinCAT AMS/ADS
This is a writeup of a technical protocol analysis of TwinCAT. TwinCAT allows remote code execution as soon as a valid route is discovered.
Installing Beckhoff Engineering software on your Windows system can lead to unauthenticated Remote Code Execution as System.
Three prerequisites are necessary
- TwinCAT Runtime Environment installed (any version including the most recent one at time of writing)
- TwinCAT routes configured
- Firewall allows TCP/48898
doorTijl Deneut
MB Connect
MB Connect Line hard- and software investigated
Intro
While the awareness for cyber security in the ICT world has leapt forward in the last years, the awareness in the OT world definitely has not. Very few industrial devices are equipped with adequate cyber security measures. This shouldn’t be a surprise. For years, OT devices were left alone under the idea that “if it isn’t broken, don’t touch it”. These devices are also incredibly robust. A lot of companies still use devices that are more than a decade old! They are designed to last a lifetime, even in harsh environments. But with industry 4.0 around the corner, more and more companies are connecting their OT devices to a network. Everything has to be connected. Data must be logged, machines have to be managed remotely. Devices with an Ethernet port will be connected to a LAN network.
However, almost no industrial device employs a decent cyber security strategy. That’s where we come in.
doorTijl Deneut
Fortigate 2019
Een kwetsbaarheid met grote gevolgen voor veel bedrijven
Fortinet wordt enorm veel gebruikt als Firewall en VPN server in België.
Begin dit jaar zijn details naar buiten gekomen over een kwetsbaarheid binnen het veel gebruikte OS van Fortinet genaamd FortiOS. De fout is echter geen “Remote Code Execution” of “Authentication Bypass” en werd dus vrij snel geminimaliseerd als “CVE-2018-13379”, gepubliceerd op 6 april 2019 met een update voor FortiOS 5.6 op 25 april (v5.6.8) en voor FortiOS 6.0 pas op 12 juni (v6.0.5).
Officiële details zijn hier te vinden: https://fortiguard.com/psirt/FG-IR-18-384
Lees meer
doorTijl Deneut
De IXrouter onder de loep
Abstract
IXON is een bouwer van Industrial IoT hardware, en specifiek Secure Remote Access op netwerk niveau.Hiervoor wordt zowel de hardware als de software zelf ontwikkeld, met als paradepaardje de IXrouter.We kregen de IXrouter3 in huis en voerden een aantal diepgaande tests uit met het oog op security.
Het ontvangen toestel is de IXrouter3 met firmware 3.4, de versie met enkel een Ethernet uplink. Hierbij werden een viertal onderdelen nader bekeken:
- De portal website connect.ixon.co
- Initiële setup van de router
- Instellingsmogelijkheden
- De hardware
doorTijl Deneut
OPC UA naderbij bekeken
Abstract
PLC’s zijn al enkele decennia de ruggengraat van de industrie. Ze kunnen moeiteloos een ingewikkeld industrieel proces aansturen d.m.v. diverse I/O’s. Maar het simultaan behandelen van meerdere gebruikers die opvragen hoe het met de productie gesteld is, behoort niet tot het takenpakket van een PLC.
Om die reden werd OPC ingevoerd, wat origineel stond voor het cryptische OLE for Process Control. Men zag echter snel een kans om, in tegenstelling tot de gesloten protocollen van de PLC’s, hier een open standaard van te maken. Zo werd OPC als Open Platform Communications geboren.
OPC bestaat dus uit een server en één of meerdere clients, waarbij de server enerzijds de taak heeft om de “taal” van de PLC’s te spreken en anderzijds de meerdere, simultane gebruikers toegang te geven tot diezelfde data. Dit op een gecontroleerde en veilige (lees: safe) manier.
