據(jù)外媒報(bào)道,安全公司Tenable的研究人員在西門子軟件平臺(tái)STEP 7 TIA Portal中發(fā)現(xiàn)了一個(gè)新的漏洞(CVE-2019-10915),該平臺(tái)用于維護(hù)核電站等大型關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)。研究人員表示,該漏洞還未在野外被利用,西門子已發(fā)布了補(bǔ)丁。
研究人員表示,攻擊者可利用該漏洞進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)、映射網(wǎng)絡(luò)、破壞和泄露數(shù)據(jù),也可修改系統(tǒng)代碼和邏輯。遠(yuǎn)程攻擊者可以通過直接向服務(wù)器發(fā)送WebSocket命令來繞過HTTP身份驗(yàn)證并訪問所有管理員功能。
一旦進(jìn)入網(wǎng)絡(luò),攻擊者就可以在易受攻擊的系統(tǒng)中執(zhí)行管理操作,并將惡意代碼添加到設(shè)施內(nèi)的相鄰工業(yè)控制系統(tǒng)中。攻擊者還可以利用漏洞收集數(shù)據(jù),以便計(jì)劃其他針對性攻擊。傳統(tǒng)的保護(hù)工業(yè)控制系統(tǒng)的方法,例如氣隙式分段網(wǎng)絡(luò)或防火墻,可能無法阻止黑客利用漏洞。
研究人員稱,一般漏洞都存在于較為過時(shí)的系統(tǒng)中,但是該漏洞在西門子定期修補(bǔ)的現(xiàn)代軟件平臺(tái)中被發(fā)現(xiàn)。此外,十年前攻擊伊朗核設(shè)施的Stuxnet惡意軟件影響的西門子設(shè)備與該漏洞影響的設(shè)備相同,因此研究人員猜測此次發(fā)現(xiàn)的漏洞與Stuxnet有關(guān)。
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報(bào)投訴
原文標(biāo)題:研究人員披露了西門子ICS軟件中的漏洞
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
相關(guān)推薦
西門子中繼器是西門子公司生產(chǎn)的一種通信設(shè)備,它在工業(yè)自動(dòng)化和通信系統(tǒng)中扮演著重要的角色。中繼器的主要作用是放大和轉(zhuǎn)發(fā)信號,以確保信號在長距離傳輸過程中不會(huì)因?yàn)樗p而丟失或變得模糊不清。
發(fā)表于 09-05 09:47
?274次閱讀
西門子PLC(Programmable Logic Controller,可編程邏輯控制器)是一種廣泛應(yīng)用于工業(yè)自動(dòng)化領(lǐng)域的控制設(shè)備。在實(shí)際應(yīng)用過程中,有時(shí)需要對PLC進(jìn)行復(fù)位操作,以解決一些程序
發(fā)表于 08-16 17:46
?1591次閱讀
(如數(shù)據(jù)采集軟件和云平臺(tái))以及相關(guān)的服務(wù)。 以下是西門子PLC數(shù)據(jù)采集物聯(lián)網(wǎng)平臺(tái)的一些主要特點(diǎn)和功能: 1. 數(shù)據(jù)采集:通過西門子PLC和其他工業(yè)設(shè)備,實(shí)時(shí)采集工廠車間的各類數(shù)據(jù),如設(shè)備狀態(tài)、生產(chǎn)過程參數(shù)、能耗等。 2. 數(shù)據(jù)傳
發(fā)表于 08-07 14:04
?315次閱讀
在數(shù)字化轉(zhuǎn)型的浪潮中,西門子再次邁出堅(jiān)實(shí)步伐,近期成功完成了對西班牙科技創(chuàng)新企業(yè)BuntPlanet的收購整合,這一戰(zhàn)略舉措標(biāo)志著西門子在水行業(yè)的軟件產(chǎn)品組合迎來了前所未有的升級與豐富
發(fā)表于 07-10 16:25
?639次閱讀
能力和靈活的通訊接口,結(jié)合ABB變頻器的高性能驅(qū)動(dòng)和控制功能,共同構(gòu)成了工業(yè)自動(dòng)化系統(tǒng)中的核心部分。本文將對西門子PLC與ABB變頻器通訊的實(shí)現(xiàn)進(jìn)行詳細(xì)闡述,包括通訊協(xié)議、硬件連接、軟件配置以及應(yīng)用實(shí)例等方面,以期為相關(guān)領(lǐng)域的工
發(fā)表于 06-19 15:29
?2216次閱讀
在現(xiàn)代工業(yè)自動(dòng)化控制系統(tǒng)中,西門子PLC(Programmable Logic Controller)以其卓越的性能和穩(wěn)定性贏得了廣泛應(yīng)用。而在西門子PLC系統(tǒng)中,IO模塊(Input
發(fā)表于 06-19 10:46
?1443次閱讀
西門子PLC(Programmable Logic Controller)作為工業(yè)自動(dòng)化領(lǐng)域的核心設(shè)備,其內(nèi)部功能強(qiáng)大、應(yīng)用廣泛。在西門子PLC中,OB塊(Organization Block,組織
發(fā)表于 06-15 11:27
?3351次閱讀
西門子(Siemens)是一家德國跨國公司,其產(chǎn)品涵蓋了工業(yè)自動(dòng)化、能源、醫(yī)療、交通等多個(gè)領(lǐng)域。在工業(yè)自動(dòng)化領(lǐng)域,西門子提供了各種模塊化產(chǎn)品,包括PLC(可編程邏輯控制器)、HMI(人機(jī)界面
發(fā)表于 06-11 16:20
?3393次閱讀
西門子PLC(Programmable Logic Controller,可編程邏輯控制器)是工業(yè)自動(dòng)化領(lǐng)域中非常重要的一種設(shè)備,其模塊化的設(shè)計(jì)使得其應(yīng)用范圍非常廣泛。本文將詳細(xì)介紹西門子PLC
發(fā)表于 06-11 16:18
?4410次閱讀
近日,F(xiàn)lexiv非夕科技與西門子達(dá)成戰(zhàn)略合作協(xié)議,正式加入西門子 Xcelerator 生態(tài),雙方將聯(lián)合打造面向多行業(yè)的自適應(yīng)機(jī)器人應(yīng)用解決方案。
發(fā)表于 05-24 14:49
?635次閱讀
Essentials,幫助各規(guī)模企業(yè)能夠按需訪問西門子工業(yè)軟件 西門子數(shù)字化工業(yè)軟件 PLM 產(chǎn)品執(zhí)行副總裁 Joe Bohman 在 Realize LIVE Americas 用
發(fā)表于 05-17 16:15
?360次閱讀
值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動(dòng)還修復(fù)了3個(gè)零日漏洞,其中2個(gè)已被證實(shí)被黑客
發(fā)表于 05-15 14:45
?612次閱讀
西門子數(shù)字化工業(yè)軟件進(jìn)一步擴(kuò)展與亞馬遜云科技(AWS)的合作關(guān)系,在 AWS 的云服務(wù)中推出基于西門子 PAVE360 的汽車數(shù)字孿生解決方案,通過
發(fā)表于 11-24 10:54
?693次閱讀
西門子標(biāo)準(zhǔn)化編程和虛擬調(diào)試應(yīng)用,西門子標(biāo)準(zhǔn)化編程、仿真與虛擬調(diào)試應(yīng)用培訓(xùn)PPT。
發(fā)表于 11-16 14:58
?468次閱讀
很多初入門的PLC工程師和不了解西門子產(chǎn)品的工程師不是很清楚西門子編程軟件有哪些?
發(fā)表于 10-26 17:01
?7933次閱讀
評論