西门子已经发布了数份建议性通知,建议使用SimaticStep7、PCS7和WinCC工业软件的用户安装安全补丁,以防止任何的网络攻击。这些补丁是专门为弥补类似于超级工厂(Stuxnetworm)病毒造成的缺陷而设计。2010年,超级工厂(Stuxnetworm)病毒破坏了伊朗核项目的离心分离机。
尽管西门子的通知中没有提及超级工厂病毒,但是他们表示补丁是专门为弥补2010年首次发现的缺陷而设计。
第一条建议是针对缺陷影响V5.5+SP1(5.5.1)之前的Step7版本和影响V7.1SP3之前的PCS7。这些项目包含一个DLL(动态链接库)装载机制,攻击者能够去掉该机制而执行随意代码。
受到影响的Step7版本允许DLL文件被装载在项目文件夹中,从而攻击装有Step7的系统。攻击者能将随意的文件放到项目文件夹中,开机时那些随意文件会自动装载而不用经过认证。随后,Step7的应用允许执行这些代码。
如果项目文件夹放到互联网上进行共享,攻击者能够进入到文件夹所在地址,并在里面放置一些特殊的乱码。如果Step7在该途径下打开项目,应用会自动安装该乱码。西门子指出,为了达到该目的,攻击者须要进入Step7项目的文件夹,或知道系统的登陆密码。
第一条建议描述了西门子在2010年和2011年修补缺陷的具体步骤。去年,西门子发布了一个软件升级执行机制,以让含有可执行码的Step7项目文件夹拒绝DLL,因此能阻止执行那些未经认证的代码。
Step7升级到V5.5SP1(5.5.1),修复缺陷,但是西门子建议使用Step7和PCS7的用户尽快安装最新的补丁包--V5.5SP2。
第二条建议针对V7.0SP2Update1之前SimaticWinCC版本和V7.1SP2之前的SimaticPCS7版本所存在的缺陷。这些安装包使用的是预定义SQL服务器认证码,能够允许管理者进入系统数据库。用户不能更改或取消这些认证码,管理者可以使用这些认证码远程进入数据库服务器。
西门子弥补了WinCCV7.0SP2Update1(7.0.2.1版本)的缺陷,并进行了最新的升级。最新的版本是Update2,去除了预定义的认证码,转向Windows认证机制。西门子"强烈建议"尽快安装该更新包,并表示该安装包也适用于SimaticPCS7的用户。
有关西门子的公告,美国工业控制系统网络紧急应变小组(ICS-CERT)已经发布了自己的相关建议。
芬兰网络安全专家公司芬安全(F-Secure)已经收到来自在伊朗原子能组织(AEOI)供职的科学家的邮件,称伊朗的核项目"再一次受到来自一种新病毒的威胁和攻击,已经关闭了我们在纳坦兹的自动化网络和位于库姆附近的另一个工厂。"发邮件的人说自动化网络和西门子硬件都受到了攻击并已被关闭。
芬安全(F-Secure)公司表示,不能确认报告攻击的具体细节,但是能确认邮件是从AEOI内部发出。
