施耐德电气称赞对ICS安全缺陷的积极反应
Centurylink将数据中心投资组合卖给私募股权财团
经营电子邮件诈骗导致了通过Rogue Wire Transfers的23亿美元亏损
微软的弱电话销量拖到其表面和云胜利
Sunedison如何从1号到破产的边缘
HPE演示记忆驱动的架构,用于下一代它
美国不再要求Apple在纽约案件中帮助裂开iPhone
Cryptowoms:勒索软件的未来地狱
英特尔的22核Badwell芯片将加快云服务
这是新英特尔的样子
5关于AMD的Bristol Ridge Chips的刻录问题
英特尔的新硬件套件使得更容易构建机器人和无人机
专家攻击数字经济账单缺乏数据分享保障措施
哥本哈根金公司枢纽打开了大门
新的浏览器Vivaldi针对那些厌倦了UI紧缩的人
澳大利亚和新西兰IT专业人员比英国等同物更大
美国宇航局为未来火星任务测试充气栖息地
招聘网络安全和大数据专家在2017年以其招聘人员的首要任务命名
检查点,华为加入英特尔安全创新联盟
NVIDIA在一个包中统一了大型开发人员工具列表
信息安全设置为陡峭的轨迹(ISC)2
爱尔兰沿着英国建立国家网络安全中心
ANZ Bank将云专家引领IT角色
谷歌的项目ARA智能手机项目显示了生活的迹象
总曲柄计算功率,以便在地球表面以下更清楚地看到
面试:凯文坎宁顿,政府数字服务总干事
苹果如何在英特尔的计划中踩到英特尔的计划情绪聪明
需要速度:在AWS的云创新引擎内
CW500:岩石之路软件定义了一切
CIO采访:Marc Touitou,世界卫生组织
专家们破解Petya赎金软件,可以免费启用硬盘解密
国家警察委员会规定了数字警务战略
认识到德国钢铁巨头Klöckner收购IT团队
Microsoft显示了Xamarin采集的果实与Visual Studio集成以及更多
英国几乎底部的经合组织投资
十大国家监测,调查权力和2016年活动故事
NVIDIA的DGX-1超级计算机包装250台服务器的功率
Dogspectus:Android Ransomware默默地安装,要求200美元iTunes礼品卡赎金
加快飞行员托管个人金融,在订阅水域倾斜脚趾
安全之路:在中东的自动驾驶汽车
Ukisug 2016:5%的SAP客户正在使用S / 4 HANA
新闻公司在欧洲申请反对谷歌的反托拉斯费用
哈维纳什调查说,科技产业通过自动化和缺乏技能“自我饮用”
苹果40:在“盛开”家庭计算机市场中看到承诺
2016年十大女性和多样性故事
所有美国屋顶上的太阳能将提供39%的权力
Rogue USB-C电缆和适配器的噩梦即将结束
TItri添加VMware和Flocker持久容器存储
企业IoT推广仍需要外部帮助 - 但新软件可以提供帮助
澳大利亚州的人权委员会网站被黑客队员击中
您的位置:首页 >电子新品 >

施耐德电气称赞对ICS安全缺陷的积极反应

2021-06-29 20:43:53 [来源]:

Schneider Electric赢得了对其Unity Pro工业控制器管理软件的安全漏洞的快速反应的赞誉。

但缺陷再次强调了工业控制系统(ICS)的脆弱性,特别是随着越来越多的这样的系统与互联网连接。

工业网络安全公司Indegy发现了Scheider Electric Software缺陷,它可以使黑客能够在工业网络上执行远程执行代码。

虽然任何可以访问控制网络的人都可以访问其所有工业控制器的人,因为它们通常缺乏身份验证机制,并且由于工业通信协议通常缺乏加密,但一些漏洞可能会对ICS网络构成“卓越风险”。

Unity Pro的漏洞允许任何用户直接在使用Debug权限安装产品的任何计算机上执行代码,所述Igegy表示。

缺陷驻留在一个名为Unity Pro PLC Simulator的Unity Pro软件的组件中,该组件用于测试工业控制器,根据Indegy。

缺陷特别关注,因为Unity Pro存在于世界上的每个控制网络中,它使用Schneider电动可编程逻辑控制器(PLC),这几乎可以通过这些PLC控制的任何过程易受攻击。

“如果互联网可以访问运行Unity Pro软件的Windows PC的IP地址,那么任何人都可以利用软件和运行硬件代码,”Mille Gandelsman,Idegy的CTO,告诉ThreatPost。“这是皇冠宝石的访问。攻击者可以用控制器本身做任何他们想要的事情。“

在制作漏洞公共之前,Indegy联系了Schneider Electric,通过发布安全通知并释放软件更新来解决漏洞而致以响应。该公司在此之前表示,包括版本11.1的所有版本的Unity Pro软件受到影响。

“控制系统中的安全问题是广泛的,随着研究人员侧重于揭示他们,但对我来说,最让我对这个故事的印象是令人印象深刻的,这是施奈德能够快速响应问题并创建一个解决所发现的安全漏洞的更新,“全球总监Mike Ahmadi,Synopsys的关键系统安全性Mike Ahmadi说。

“这是一个成熟组织的标志,具有固体网络安全事件管理计划。作为过去与施奈德合作的人,我知道他们在内部网络安全漏洞测试以及事件回复中消耗了相当大的努力,“他补充道。

Idegy Nor More Electric既不确认是否存在攻击者被剥削的缺陷的任何已​​知实例。

这不是第一次在施耐德电气生产的软件中找到了安全缺陷。2015年,已确定一个错误,它与一系列与凭证和认证验证有关的一系列漏洞,这些漏洞在公司的人机界面(HMI)产品中可以允许攻击者运行任意代码的凭证和身份验证验证。

在2015年的2015年度漏洞报告中,美国工业控制系统网络应急响应团队(ICS-Cert)表示,超过一半的报告的漏洞来自不当的输入验证(25%)和权限,权限和访问控制(27%)。

其他漏洞与差的代码质量(6%),加密问题(11%),凭证管理(19%)和不当资源控制(12%)相关联。

“控制系统及其组件不应直接从互联网上直接访问”,“安全公司Tripwire的产品管理总监”eRlin表示。

“虽然许多人看起来很明显,但许多人不应从互联网直接访问控制系统,而且也是许多这些系统的事实也是如此。”

虽然Unity Pro漏洞严重,但Erlin表示好消息是,有几个步骤控制系统运营商可以采取解决它,包括施耐德电气的补丁。

“在系统无法修补或以其他方式保护的情况下,施奈德客户应该努力监控任何漏洞活动,”他说。

Security公司Rubiconlabs产品的产品副总裁Rod Schultz表示,远程代码执行是已连接到网络的数字系统的许多漏洞之一。

“虽然远程代码执行攻击复杂,但发现,它们非常易于再现,并且在互联网上看到的一种攻击的示例,”他说。“安全变得越来越重要,不幸的是,它越来越难以做到。”

根据Schultz的说法,必须创建用于安全和保护的托管服务,以简化设备制造商和服务提供商的这些问题。

“世界不会停止将设备连接到网络,攻击者越来越多的动机来攻击这种扩大的目标,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。