西門子發(fā)布WinCC和Step7等工業(yè)軟件安全補丁

　　西門子已經(jīng)發(fā)布了數(shù)份建議性通知，建議使用SimaticStep7、PCS7和WinCC工業(yè)軟件的用戶安裝安全補丁，以防止任何的網(wǎng)絡攻擊。這些補丁是專門為彌補類似于超級工廠(Stuxnetworm)病毒造成的缺陷而設計。2010年，超級工廠(Stuxnetworm)病毒破壞了伊朗核項目的離心分離機。

　　盡管西門子的通知中沒有提及超級工廠病毒，但是他們表示補丁是專門為彌補2010年首次發(fā)現(xiàn)的缺陷而設計。

　　第一條建議是針對缺陷影響V5.5+SP1(5.5.1)之前的Step7版本和影響V7.1SP3之前的PCS7。這些項目包含一個DLL(動態(tài)鏈接庫)裝載機制，攻擊者能夠去掉該機制而執(zhí)行隨意代碼。

　　受到影響的Step7版本允許DLL文件被裝載在項目文件夾中，從而攻擊裝有Step7的系統(tǒng)。攻擊者能將隨意的文件放到項目文件夾中，開機時那些隨意文件會自動裝載而不用經(jīng)過認證。隨后，Step7的應用允許執(zhí)行這些代碼。

　　如果項目文件夾放到互聯(lián)網(wǎng)上進行共享，攻擊者能夠進入到文件夾所在地址，并在里面放置一些特殊的亂碼。如果Step7在該途徑下打開項目，應用會自動安裝該亂碼。西門子指出，為了達到該目的，攻擊者須要進入Step7項目的文件夾，或知道系統(tǒng)的登陸密碼。

　　第一條建議描述了西門子在2010年和2011年修補缺陷的具體步驟。去年，西門子發(fā)布了一個軟件升級執(zhí)行機制，以讓含有可執(zhí)行碼的Step7項目文件夾拒絕DLL，因此能阻止執(zhí)行那些未經(jīng)認證的代碼。

　　Step7升級到V5.5SP1(5.5.1)，修復缺陷，但是西門子建議使用Step7和PCS7的用戶盡快安裝最新的補丁包--V5.5SP2。

　　第二條建議針對V7.0SP2Update1之前SimaticWinCC版本和V7.1SP2之前的SimaticPCS7版本所存在的缺陷。這些安裝包使用的是預定義SQL服務器認證碼，能夠允許管理者進入系統(tǒng)數(shù)據(jù)庫。用戶不能更改或取消這些認證碼，管理者可以使用這些認證碼遠程進入數(shù)據(jù)庫服務器。

　　西門子彌補了WinCCV7.0SP2Update1(7.0.2.1版本)的缺陷，并進行了最新的升級。最新的版本是Update2，去除了預定義的認證碼，轉向Windows認證機制。西門子"強烈建議"盡快安裝該更新包，并表示該安裝包也適用于SimaticPCS7的用戶。

　　有關西門子的公告，美國工業(yè)控制系統(tǒng)網(wǎng)絡緊急應變小組(ICS-CERT)已經(jīng)發(fā)布了自己的相關建議。

　　芬蘭網(wǎng)絡安全專家公司芬安全(F-Secure)已經(jīng)收到來自在伊朗原子能組織(AEOI)供職的科學家的郵件，稱伊朗的核項目"再一次受到來自一種新病毒的威脅和攻擊，已經(jīng)關閉了我們在納坦茲的自動化網(wǎng)絡和位于庫姆附近的另一個工廠。"發(fā)郵件的人說自動化網(wǎng)絡和西門子硬件都受到了攻擊并已被關閉。

　　芬安全(F-Secure)公司表示，不能確認報告攻擊的具體細節(jié)，但是能確認郵件是從AEOI內(nèi)部發(fā)出。