生活在一个我们必须真正担心网络威胁的世界中, 特别是在关键基础建设 和微调制造操作方面网络罪犯复杂化,也许更重要的是工业控制系统内部缺乏固有安全,我们可能面临未来的危机。
上星期水晶清晰idgy实验室工业网络安全公司宣布发现Schneider电气UnityPro软件中的漏洞,这是一个编程和管理工业控制器应用缺陷允许用户远程直接对安装软件的任何其他计算机执行代码
问题存在于UnityPro模拟器中,即PLC模拟器中,用于测试工业控制器代码后再对控制器本身执行代码控制代码项目编译为x86指令并加载到PLC模拟器上使用自有格式命名为apx
UnityPro模拟元件中的漏洞使攻击者能够自发访问工业控制器并使用apx执行恶意代码公司表示,Indigy发现这一麻烦缺陷是其持续研发努力的一部分。
指如果我能访问网络中的计算机 我可以对网络中任何其他计算机执行代码, Indugy CTOMLLE Gandelsman表示远非小事
何谓如此危险
并使用网络文件, 但不表示CEO计算机执行代码 Gandelsman解释
这是因为IT网络设计时以网络安全为思想工业控制器缺乏认证和工业通信协议缺乏加密
UnityPro用于编程化工厂、制药公司和关键基础设施中的PLCs和RTUsGandelsman表示:「如果任何人能访问此网站,换句话说,有人可以对工业控制器做任何事情-逐个设计-它不是黑客或开发
Indegy数月前把发现带给Schneider电厂自那以来自动化和能源管理供应商发布安全通知表示Schneider Electrict发现UnityPro软件产品的脆弱性
Indegy并不知道这一特殊缺陷正在被利用,它证明制造商和供应商需要采取步骤避免不可避免发生。这就意味着寻找新方式监控控制系统与产业网络
Gandelsman表示:「我认为事件之一是工业控制网缺乏可见度
