西门子表示,它打算修复在其工业控制系统产品中发现的一个漏洞,但发现该漏洞的美国国家安全局实验室(NSS Labs)研究人员表示,该公司似乎在淡化问题的严重性,以挽回面子。
“这些脆弱性影响深远,影响着全球每一个工业化国家。这是一个非常严重的问题。”Dillon Beresford周一在SCADASEC网上论坛上发帖称。该论坛上周讨论了西门子公司打算修复一个由NSS实验室于5月9日发现并得到美国国土安全部证实的漏洞安全工业控制系统网络应急响应小组(ICS CERT)。
NSS实验室自愿与西门子直接分享了他们的发现取消了一场公开演讲上周,西门子未能及时完成其可编程逻辑控制器(PLC)的修复工作。
西门子似乎暗示其SCADA系统设备的缺陷可能难以被典型的黑客利用,贝雷斯福德对此表示失望,因为NSS实验室发现的漏洞“是在对协议和控制器进行无限制访问的特殊实验室条件下发现的”。
贝雷斯福德在周一写道,当时没有“具有无限访问协议的‘特殊实验室条件’”,他是如何设法找到西门子PLC设备上的漏洞,从而让攻击者对设备进行攻击的。“我的私人公寓在城市的另一边,晚上我能听到枪声,很难定义一个特殊的实验室。”贝雷斯福德说,他用自己公司的资金购买了西门子的控制器,并发现了漏洞,他说,怀有恶意的黑客也可能会这样做。
“对于典型的黑客来说,利用这些漏洞并不困难,因为我将代码放入了一系列Metasploit辅助模块中,与提供给ICS-CERT和西门子的模块相同,”贝雷斯福德在他的在线评论中写道。NSS实验室曾计划在上周演示这是如何工作的,但西门子未能成功完成基于该漏洞的攻击防御。
“此外,西门子建议的‘安全功能’在与西门子安全工程师通过电话交谈的45分钟内就被绕过了,”贝雷斯福德继续说。“我确认后立即通知了ICS-CERT和SCADASEC。从他们提出解决方案并向我解释的那一刻起,我就知道这个功能有缺陷,因为我破坏的远不止plc。”
贝雷斯福德认为西门子在这一问题上所做的似乎是“损害控制和影响最小化”。“时钟在滴答作响,时间至关重要。我对一家价值800亿美元的公司期望更高,你的客户也是如此……简而言之,当一个供应商为了在公众面前保全面子而试图将一个关键问题的影响降到最低时,这对研究人员来说是非常令人沮丧的。它向那些试图做正确事情的人传递了错误的信息。”
SCADSEC名单上的几位与会者对贝雷斯福德的工作表示感谢。
其中一人接着说,“我对西门子的期望更好,”他指出,“他们的控制器在很多、很多你意想不到的地方使用,从电梯控制到高能化学过程。这与西门子无关。这是关于使用西门子设备的地方。这有点像铸造厂制造出一批有缺陷的螺栓,导致飞机从天上掉下来。如果铸造厂没有做好他们的工作,他们的利润和损失相比就会相形见绌。”
自从Stuxnet蠕虫病毒被发现以来,工业控制系统受到了越来越多的审查。Stuxnet被认为是用来破坏伊朗核计划的,它是第一个为工业系统设计的恶意软件,它的目标是西门子的一个系统。
IDG新闻服务对本文也有贡献。