西門子發(fā)布WinCC和Step7等工業(yè)軟件安全補(bǔ)丁

　　西門子已經(jīng)發(fā)布了數(shù)份建議性通知，建議使用SimaticStep7、PCS7和WinCC工業(yè)軟件的用戶安裝安全補(bǔ)丁，以防止任何的網(wǎng)絡(luò)攻擊。這些補(bǔ)丁是專門為彌補(bǔ)類似于超級(jí)工廠(Stuxnetworm)病毒造成的缺陷而設(shè)計(jì)。2010年，超級(jí)工廠(Stuxnetworm)病毒破壞了伊朗核項(xiàng)目的離心分離機(jī)。

　　盡管西門子的通知中沒(méi)有提及超級(jí)工廠病毒，但是他們表示補(bǔ)丁是專門為彌補(bǔ)2010年首次發(fā)現(xiàn)的缺陷而設(shè)計(jì)。

　　第一條建議是針對(duì)缺陷影響V5.5+SP1(5.5.1)之前的Step7版本和影響V7.1SP3之前的PCS7。這些項(xiàng)目包含一個(gè)DLL(動(dòng)態(tài)鏈接庫(kù))裝載機(jī)制，攻擊者能夠去掉該機(jī)制而執(zhí)行隨意代碼。

　　受到影響的Step7版本允許DLL文件被裝載在項(xiàng)目文件夾中，從而攻擊裝有Step7的系統(tǒng)。攻擊者能將隨意的文件放到項(xiàng)目文件夾中，開(kāi)機(jī)時(shí)那些隨意文件會(huì)自動(dòng)裝載而不用經(jīng)過(guò)認(rèn)證。隨后，Step7的應(yīng)用允許執(zhí)行這些代碼。

　　如果項(xiàng)目文件夾放到互聯(lián)網(wǎng)上進(jìn)行共享，攻擊者能夠進(jìn)入到文件夾所在地址，并在里面放置一些特殊的亂碼。如果Step7在該途徑下打開(kāi)項(xiàng)目，應(yīng)用會(huì)自動(dòng)安裝該亂碼。西門子指出，為了達(dá)到該目的，攻擊者須要進(jìn)入Step7項(xiàng)目的文件夾，或知道系統(tǒng)的登陸密碼。

　　第一條建議描述了西門子在2010年和2011年修補(bǔ)缺陷的具體步驟。去年，西門子發(fā)布了一個(gè)軟件升級(jí)執(zhí)行機(jī)制，以讓含有可執(zhí)行碼的Step7項(xiàng)目文件夾拒絕DLL，因此能阻止執(zhí)行那些未經(jīng)認(rèn)證的代碼。

　　Step7升級(jí)到V5.5SP1(5.5.1)，修復(fù)缺陷，但是西門子建議使用Step7和PCS7的用戶盡快安裝最新的補(bǔ)丁包--V5.5SP2。

　　第二條建議針對(duì)V7.0SP2Update1之前SimaticWinCC版本和V7.1SP2之前的SimaticPCS7版本所存在的缺陷。這些安裝包使用的是預(yù)定義SQL服務(wù)器認(rèn)證碼，能夠允許管理者進(jìn)入系統(tǒng)數(shù)據(jù)庫(kù)。用戶不能更改或取消這些認(rèn)證碼，管理者可以使用這些認(rèn)證碼遠(yuǎn)程進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器。

　　西門子彌補(bǔ)了WinCCV7.0SP2Update1(7.0.2.1版本)的缺陷，并進(jìn)行了最新的升級(jí)。最新的版本是Update2，去除了預(yù)定義的認(rèn)證碼，轉(zhuǎn)向Windows認(rèn)證機(jī)制。西門子"強(qiáng)烈建議"盡快安裝該更新包，并表示該安裝包也適用于SimaticPCS7的用戶。

　　有關(guān)西門子的公告，美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急應(yīng)變小組(ICS-CERT)已經(jīng)發(fā)布了自己的相關(guān)建議。

　　芬蘭網(wǎng)絡(luò)安全專家公司芬安全(F-Secure)已經(jīng)收到來(lái)自在伊朗原子能組織(AEOI)供職的科學(xué)家的郵件，稱伊朗的核項(xiàng)目"再一次受到來(lái)自一種新病毒的威脅和攻擊，已經(jīng)關(guān)閉了我們?cè)诩{坦茲的自動(dòng)化網(wǎng)絡(luò)和位于庫(kù)姆附近的另一個(gè)工廠。"發(fā)郵件的人說(shuō)自動(dòng)化網(wǎng)絡(luò)和西門子硬件都受到了攻擊并已被關(guān)閉。

　　芬安全(F-Secure)公司表示，不能確認(rèn)報(bào)告攻擊的具體細(xì)節(jié)，但是能確認(rèn)郵件是從AEOI內(nèi)部發(fā)出。