你能觉得,重要基础设施建设的经销商至少会佯称自身关心安全性。
不知:谁不清楚“别应用硬编码的登陆密码”这条网络信息安全标准?来看有些人必须用一根针,将这一条标准镌刻在施耐德电气企业(SchneiderElectric)的开发者看得清的地区,以防她们忘记了。
是的,这一幕又出現了,但是这次的主人公是这个的监管和数据收集(SCADA)经销商的德力西ModiconTM221CE16R固定件1.3.3.3;如果沒有新固定件,客户就毫无知觉,由于她们没法修改密码。
这简直很尤其的星期五中午:有些人应用固定不动密匙“SoMachineBasicSoMachineBasicSoMa”数据加密了客户/登陆密码XML文档。
那么就代表着网络攻击能够开启控制自然环境(SoMachineBasic1.4s店P1),获得并破译客户文档,从而接到系统软件的控制权。
如同法国OpenSourceSecurity的西蒙·赫明(SimonHeming)、梅克·布鲁格曼(MaikBrüggemann)、亨得里克·斯瓦特克(HendrikSchwartke)和拉尔夫·斯彭内伯格(RalfSpenneberg)这几个发现人尤其强调,她们往往公布了这一份系统漏洞公示,是因为她们联络后,施耐德电气压根视而不见。
一样这群科学研究工作人员公布了另一份系统漏洞公示,再度来源于施耐德电气,再度TM221CE16R固定件1.3.3.3硬件配置:不用认证真实身份,就能远程控制获得维护其应用软件的登陆密码。
客户只必须应用TCP端口502,对于Modbus推送下边这一指令:
echo-n-e'\x00\x01\x00\x00\x00\x05\x01\x5a\x00\x03\x00'|ncIP502
她们写到:“以后,获得的指令就可以键入到SoMachineBasic中,从而免费下载、改动和接着再度提交一切所必须的应用软件。”
美国工业控制系统软件互联网应急处置工作组(ICS-CERT)将德力西Modicon模块纳入“关键的生产制造、食品类、农牧业、供电和污水系统软件”重要基础设施建设领域的范围――美国IT网址TheRegister觉得,这种领域针对将登陆密码放到固定件里面做法大全应当更谨慎些。
终究,这不是施耐德电气头一回在登陆密码层面出糗了。去年初,施耐德电气的Struxureware房屋智能管理系统在基础的密码安全体制层面沒有保证位,結果让网络攻击得到绕开楼宇智能化控制系统软件。
