安全研究员声称他发现23漏洞在工业控制软件来自多个供应商在不同的安全公司上周展示了漏洞在应用程序从一些相同的制造商,但选择不报告。
亚伦Portnoy漏洞被发现,启动安全公司大批情报研究部的副总裁,并影响SCADA(监控和数据采集)软件从罗克韦尔自动化,施耐德电气,Indusoft RealFlex和伊顿。这种类型的软件是用来控制工业过程的关键基础设施,制造工厂,及其它工业设施。
更多:安全公司展示了在SCADA软件漏洞,不会报告他们的供应商
上周,ReVuln Malta-based脆弱性研究公司宣布,它已发现关键的漏洞在SCADA软件从通用电气、施耐德电气,Kaskad,罗克韦尔自动化,伊顿和西门子。然而,安全公司说,它不会报告缺陷受影响的供应商或工业控制系统网络应急响应小组(ICS-CERT)的美国国土安全部。
ReVuln销售信息漏洞找到政府机构和其他选择私人买家通过基于订阅的服务。
“我决定研究SCADA软件在阅读文章提到和认为这是危险的,迫使供应商购买ReVuln提要为了保护关键基础设施,“通过电子邮件Portnoy周一说。
ReVuln基于订阅的提要服务不可用的软件供应商,但安全公司提供漏洞评估服务软件制造商,ReVuln的联合创始人路易基奥列马周一说,通过电子邮件。奥列马为他的公司决定不报告的漏洞和说,这种商业模式是使用其他的脆弱性研究公司和经纪人。
的做法未报告的漏洞信息卖给私人买家安全研究社区并不新鲜。然而,直到最近,一些公司开始公开广告等服务。例如,法国脆弱性研究公司VUPEN批评数字权利倡导者后公开承认其销售利用北约成员国政府没有报告供应商的漏洞。
Portnoy展示了他的发现一篇博客文章周一发布的。包括七个远程代码执行漏洞,14拒绝服务问题和其他一些漏洞可以让攻击者下载、上传和删除任意文件从系统运行脆弱的软件。
“这些虫子最有趣的事是他们是多么微不足道,“Portnoy在博客中写道。“第一个利用0天(未知的漏洞)仅7分钟才发现从软件安装。对于那些已经花了很多时间使用审计软件在企业和消费空间,SCADA相比之下是极其简单的。”
事实上,根据Portnoy,更难获得比找到软件缺陷。“我用不同的方法来检索各种SCADA软件厂商,”他通过电子邮件说。“其中一些试用软件感兴趣,其他人我不得不挖掘FTP凭证在一些模糊的文档支持门户。我尽我所能确保审计软件的最新版本我看着。”
Portnoy希望他的发现与ReVuln部分重叠,因为不像ReVuln,他计划报告ICS-CERT的漏洞,然后协调披露与受影响的供应商。
他希望看到ICS-CERT SCADA软件创建一个存储库访问人员实施负责任的披露。甚至最重要的审计软件的列表会帮助,他说。
“我有保密的问题,”Portnoy说。“我不认为这对行业或一般民众故意不允许供应商修复漏洞通过隐瞒信息,这就是为什么我们负责任地公布我们的。”
ReVuln一样,《出埃及记》情报卖补丁信息通过一个基于订阅的服务。然而,服务旨在帮助公司保卫他们的系统攻击针对这些漏洞,直到软件供应商能够提供一个补丁。
关于缺陷的公司总是通知供应商与客户共享信息之前,Portnoy说。“我们所有的客户都是根据严格的合同禁止他们做任何外部攻击的信息,除了测试自己的防御措施之一,而厂商在一片。”
出埃及记》的报告包括问题的详细分析,评估其风险,缓解建议,有时利用代码。“我们为这些问题提供利用,因为我们看到的历史防守供应商产量基于简单的概念证明,和不屈服现实的保护。”
Portnoy的想法不是唯一的研究员独立发现的弱点展示ReVuln和报告供应商。
“我们一直打算做相同的事情在Secunia像亚伦(Portnoy)提到(即执行内部研究尝试部分重叠,然后协调供应商和ICS-CERT),“Carsten Eiram脆弱性研究公司Secunia首席安全专家周一说,通过电子邮件。
当被问及他认为对ReVuln决定出售的信息漏洞没有报告给供应商,Eiram表示,他不想被法官时的正确或错误的信息披露政策。“然而,在Secunia我们做不同的事情,”他说。
Secunia的披露政策甚至比《出埃及记》的严格的智慧。只要公司的研究人员发现漏洞,该公司报告他们受影响的供应商,不分享他们与客户或公众信息,直到他们已经解决或者与供应商沟通失败,Eiram说。
ReVuln不打算停止出版软件供应商的名称,它有漏洞,即使这将导致独立努力从其他研究人员发现缺陷并报告他们受影响的公司,奥列马说。如果任何漏洞ReVuln通过其提供的提要服务修补的供应商,该公司将发布一个通用的公共咨询有关问题,但不会公开披露任何技术细节,他说。
鲁本Santamarta,安全安全咨询公司IOActive研究员,曾报道漏洞在工业控制系统(ICS),认为商业模式基于保密政策在这里逗留到软件公司让他们不可持续的获得他们的产品。
“这种商业模式可以谴责,这取决于你道德的角度来看,“通过电子邮件Santamarta周一说。“监管与否,只要有买家,卖家,除非我们到达的地方是,没有卖。直到那一刻,我觉得这种公司是部门必须住在一起。”
Portnoy说,对他来说很容易找到漏洞在SCADA软件因为他测试的许多产品甚至没有基本的安全措施之一。
“我认为这些厂商应该强迫执行外包代码审查,至少——尤其是考虑到影响如果软件被攻击者利用访问敏感的系统支持,”他说。
“我并不认为SCADA供应商应该被迫执行外包代码审查,但看着漏洞被发现,这可能是他们的最佳利益,”Eiram说。“许多SCADA厂商似乎需要一个坚实的SDL(安全开发生命周期计划)。”
“集成电路行业不能完全依赖于善意的一堆安全研究人员,以确保他们的产品,”Santamarta说。“我们必须考虑到,如果有人,没有以前的了解你的产品,能够找到一个缺陷,可能有人用适当的知识是做错了什么。”