美国网络应急响应团队(US-CERT)揭示了对新泽西制造商能源管理系统的未报告攻击。
入侵者成功利用了由霍尼韦尔制造的制造商的Tridium能量管理软件中的凭证存储漏洞,并识别所有公司的互联网面向设备,原子能机构报告其季度ICS-Cert Monitor的最新版本。
新泽西州的事件发生在内的同一时间利用了Tridium软件在国家政府设施,并改变系统的温度设置。
甚至简单的温度控制可以是黑客手中的武器,这是一个气体整套技术总监特里·麦卡尔勒表示。
雷竞技电脑网站数据中心有空调运行24/7。如果空调系统下降,则数据中心将快速效仿。雷竞技电脑网站“来自空调系统的平均时间走下到数据中心下降是五分钟,”他告诉雷竞技电脑网站CSO。
McCorkle和Leflance同事Billy Rios发现去年事件前的凭据存储漏洞,但Tridium没有发出安全补丁和建议的步骤,以减轻这种情况到2012年8月。
“Tridium非常认真地考虑网络安全问题,”公司代表在一封电子邮件中表示。“在与ICS-Cert和参与的研究人员合作的情况下,ICS-Cert故事中概述的问题是解决的。我们继续评估和改进我们产品的安全性。”
[深度:SCADA安全生存指南|安全和漏洞评估:四个常见错误]
然而,McCorkle指出,Tridium固定的脆弱性只是冰山一角。“产品中有很多漏洞,”他说。
“我知道他们正在努力,”他说雄雄,“但并非一切都被公开发布。”
软件中的漏洞引发了广泛的行业问题。例如,它由军事和医院广泛用于控制电子门锁,照明系统,电梯,电力和锅炉系统,视频监控摄像机,警报和其他关键建筑设施。
“这是一块辉煌的软件,”麦卡尔尔观察到。“它解决了这个行业的巨大需求。它只是软件安全实践并不是很好。”
“现在他们正在寻求安全,”他说。“这绝对是他们的雷达。但是他们最初设计的内在缺陷是如何设计的,这将是非常困难的。”
随着行业越来越多地控制他们的现实世界系统到互联网,雅典州营销副总裁的竞技副总裁们认为,与互联网上的互联网控制其现实世界的系统。
“在今天的世界中,我们蓬勃发展地互相连接,并使用互联网作为远程访问工具来管理一切,”他告诉CSO。
“一方面,它对最终用户提供了很大的好处,”他继续。“但另一方面,它真的把我们的基础设施置于重大风险。我们看到了整个董事会。”
这就是为什么他预测,在接下来的两年里,公司将在转向它的关键之前更加努力地看待系统。“买家将开始坚持在采购系统之前的一个系统的独立测试,”他说。
这个故事,“制造商的控制系统黑客提升了红旗”最初发表于CSO 。