施耐德电气称赞对ICS安全缺陷的积极反应
Schneider Electric赢得了对其Unity Pro工业控制器管理软件的安全漏洞的快速反应的赞誉。
但缺陷再次强调了工业控制系统(ICS)的脆弱性,特别是随着越来越多的这样的系统与互联网连接。
工业网络安全公司Indegy发现了Scheider Electric Software缺陷,它可以使黑客能够在工业网络上执行远程执行代码。
虽然任何可以访问控制网络的人都可以访问其所有工业控制器的人,因为它们通常缺乏身份验证机制,并且由于工业通信协议通常缺乏加密,但一些漏洞可能会对ICS网络构成“卓越风险”。
Unity Pro的漏洞允许任何用户直接在使用Debug权限安装产品的任何计算机上执行代码,所述Igegy表示。
缺陷驻留在一个名为Unity Pro PLC Simulator的Unity Pro软件的组件中,该组件用于测试工业控制器,根据Indegy。
缺陷特别关注,因为Unity Pro存在于世界上的每个控制网络中,它使用Schneider电动可编程逻辑控制器(PLC),这几乎可以通过这些PLC控制的任何过程易受攻击。
“如果互联网可以访问运行Unity Pro软件的Windows PC的IP地址,那么任何人都可以利用软件和运行硬件代码,”Mille Gandelsman,Idegy的CTO,告诉ThreatPost。“这是皇冠宝石的访问。攻击者可以用控制器本身做任何他们想要的事情。“
在制作漏洞公共之前,Indegy联系了Schneider Electric,通过发布安全通知并释放软件更新来解决漏洞而致以响应。该公司在此之前表示,包括版本11.1的所有版本的Unity Pro软件受到影响。
“控制系统中的安全问题是广泛的,随着研究人员侧重于揭示他们,但对我来说,最让我对这个故事的印象是令人印象深刻的,这是施奈德能够快速响应问题并创建一个解决所发现的安全漏洞的更新,“全球总监Mike Ahmadi,Synopsys的关键系统安全性Mike Ahmadi说。
“这是一个成熟组织的标志,具有固体网络安全事件管理计划。作为过去与施奈德合作的人,我知道他们在内部网络安全漏洞测试以及事件回复中消耗了相当大的努力,“他补充道。
Idegy Nor More Electric既不确认是否存在攻击者被剥削的缺陷的任何已知实例。
这不是第一次在施耐德电气生产的软件中找到了安全缺陷。2015年,已确定一个错误,它与一系列与凭证和认证验证有关的一系列漏洞,这些漏洞在公司的人机界面(HMI)产品中可以允许攻击者运行任意代码的凭证和身份验证验证。
在2015年的2015年度漏洞报告中,美国工业控制系统网络应急响应团队(ICS-Cert)表示,超过一半的报告的漏洞来自不当的输入验证(25%)和权限,权限和访问控制(27%)。
其他漏洞与差的代码质量(6%),加密问题(11%),凭证管理(19%)和不当资源控制(12%)相关联。
“控制系统及其组件不应直接从互联网上直接访问”,“安全公司Tripwire的产品管理总监”eRlin表示。
“虽然许多人看起来很明显,但许多人不应从互联网直接访问控制系统,而且也是许多这些系统的事实也是如此。”
虽然Unity Pro漏洞严重,但Erlin表示好消息是,有几个步骤控制系统运营商可以采取解决它,包括施耐德电气的补丁。
“在系统无法修补或以其他方式保护的情况下,施奈德客户应该努力监控任何漏洞活动,”他说。
Security公司Rubiconlabs产品的产品副总裁Rod Schultz表示,远程代码执行是已连接到网络的数字系统的许多漏洞之一。
“虽然远程代码执行攻击复杂,但发现,它们非常易于再现,并且在互联网上看到的一种攻击的示例,”他说。“安全变得越来越重要,不幸的是,它越来越难以做到。”
根据Schultz的说法,必须创建用于安全和保护的托管服务,以简化设备制造商和服务提供商的这些问题。
“世界不会停止将设备连接到网络,攻击者越来越多的动机来攻击这种扩大的目标,”他说。