Over the last couple of years, more and more industrial control systems (ICS) have been designed to be connected to the internet to allow for remote control and monitoring of industrial processes. This have opened a possibility for hackers to exploit weaknesses in such systems remotely through the internet. Such exploits could allow an attacker to steal sensitive information, make the system inaccessible, or even take control of critical infrastructure. It is therefore of great importance to know how easily these systems can be found on the internet and how vulnerable found devices would be to remote attacks. Learning these things have been the goal of this report. To accomplish this goal, we have sorted through every Swedish IP address on the IPv4 internet for services that run on ports and through protocols associated with known ICS devices. We fetched data about these IP addresses via the Shodan project and examined that data to determine how many ICS devices are in operation in Sweden, as well as the device models and manufacturers. Lastly, we cross-checked our list of found devices with the CVE database of publicly disclosed software vulnerabilities to learn how many of the devices had known exploits that could be used in an attack. Our findings are that there exist 2,237 Swedish ICS devices that can be easily found through the internet. Out of these, 244 devices had at least one known vulnerability. Most vulnerable devices had more than one known vulnerability, and about 77% had at least one exploit that was of medium, high, or critical severity as per the Common Vulnerability Scoring System. The oldest critical vulnerability found was publicly disclosed in 2011, meaning that some ICS devices in Sweden has been running with critical vulnerabilities for over 12 years. Our research shows that a significant number of Swedish industrial control systems run with unpatched vulnerabilities. This means that even an inexperienced attacker could perform targeted attacks against vulnerable Swedish systems from anywhere on the globe. Since we were unable to determine what kind of industrial processes are controlled by these ICS devices, we don’t know how damaging such an attack would be. However, since these devices can be part of the operation of critical infrastructure it is crucial that effort is made to minimize the vulnerabilities in these systems. We hope that our research motivates ICS operators and manufacturers to assess how vulnerable their systems are to these kinds of attacks, and that they implement strategies to minimize that vulnerability.

Under de senaste åren har allt fler industriella styrsystem (eng. Industrial Control System eller ICS) designats för att anslutas till internet i syfte att möjliggöra fjärrstyrning samt fjärrövervakning av industriella processer. Detta har dock öppnat upp en möjlighet för hackare att utnyttja svagheter i sådana system via internet. Sådana utnyttjanden kan tillåta en angripare att stjäla känslig information, göra systemet otillgängligt eller till och med ta kontroll över kritisk infrastruktur. Det är därför av stor vikt att veta hur lätt dessa system kan hittas på internet och hur sårbara dessa enheter skulle vara för fjärrattacker. Att utreda detta har varit målet med denna rapport. För att uppnå detta mål har vi undersökt varje svensk IP-adress på IPv4-internet för tjänster som körs på portar och genom protokoll kopplade till kända ICS-enheter. Vi hämtade data om dessa IP-adresser via Shodan-projektet och undersökte denna data för att fastställa hur många ICS-enheter som är i drift i Sverige, samt specifika enhetsmodeller och tillverkare. Slutligen jämförde vi vår lista över hittade enheter med CVE-databasen som tillhandahåller offentligt kända mjukvarusårbarheter för att ta reda på hur många av enheterna som hade kända sårbarheter som kunde användas i en attack. Våra resultat visar att det finns 2 237 svenska ICS-enheter som lätt kan hittas via internet. Av dessa hade 244 enheter minst en känd sårbarhet. De sårbara enheterna hade oftast mer än en känd sårbarhet, och cirka 77 % hade minst en sårbarhet som var av medelhög, hög eller kritisk svårighetsgrad enligt branschstandarden Common Vulnerability Scoring System. Den äldsta kritiska sårbarheten som hittades offentliggjordes 2011, vilket innebär att vissa ICS-enheter i Sverige har körts med kritiska sårbarheter i över 12 år. Vår forskning visar att ett betydande antal svenska industriella styrsystem i dagsläget körs med offentligt kända sårbarheter. Det betyder att även en oerfaren angripare skulle kunna utföra riktade attacker mot sårbara svenska system från var som helst i världen. Eftersom vi inte kunde avgöra vilken typ av industriella processer som styrs av dessa ICS-enheter, vet vi heller inte hur skadlig en sådan attack skulle vara. Men eftersom dessa enheter kan vara en del av driften av kritisk infrastruktur är det mycket viktigt att ansträngningar görs för att minimera sårbarheterna i dessa system. Vi hoppas att vår forskning motiverar ICS-operatörer samt tillverkare att granska hur sårbara deras system är för den här typen av attacker och att de implementerar strategier för att minimera skadan eventuella angrepp kan medföra.