圖控系統SCADA(Supervisory Control And Data Acquisition)所存在的安全漏洞問題,過去不斷地被拿來討論,日前研究機構ReVuln再度表示發現SCADA系統上有數個嚴重漏洞後,之後又有安全公司指出找到23個漏洞,其中一個漏洞甚至在系統安裝後的7分鐘內就被發現!
根據ReVuln放在網路上的影片指出,他們發現SCADA軟體中,存在數個嚴重的零時差安全漏洞,可作為遠端攻擊和竊取資料之用,受這些漏洞影響的SCADA廠商則包括General Electric(GE)、Schneider Electric(施耐德)、Kaskad、Rockwell Automation(洛克威爾)、Eaton(伊頓飛瑞)和Siemens(西門子)。
然而,ReVuln沒有指出哪些產品受到影響,並表示,他們不會向廠商以及美國國土安全部的工業控制系統網路緊急應變小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)通報這些漏洞與細節。
對此,新創安全公司Exodus Intelligence副總裁Aaron Portnoy於11/25在網路上撰文表示,ReVuln指出漏洞存在卻不願意公布細節給廠商,因此他決定自行著手測試,結果從五家廠商(General Electric、Schneider Electric、 Kaskad、Rockwell Automation、Eaton)的產品中共發現了高達23個漏洞,分別是7個遠端執行代碼漏洞、13個可干擾網站存取與網路服務的DoS(denial of service issues)漏洞,其餘3個漏洞則讓攻擊者可以下載、上傳、與任意刪除系統上的檔案。
Portnoy指出,最令人訝異的是,這些漏洞竟然非常容易就被發現,以第一個發現的零時差漏洞為例,從軟體安裝之後,僅花了7分鐘就找到了。他坦言,SCADA的漏洞簡單到太過不合理,相較之下,要取得這些SCADA軟體比要找到軟體漏洞還要困難。
此外,Portnoy也表示不贊同ReVuln的做法。一般來說,研究人員找到漏洞之後會通知受影響的廠商和ICS-CERT,不過ReVuln並不打算這麼做,而是希望廠商另外付費取得這些資訊,Portnoy表示,他將把這些漏洞的相關資訊通報給ICS-CERT,該單位將會和SCADA廠商合作,確保漏洞都已修補。
ReVuln的聯合創辦人Luigi Auriemma表示,ReVuln過去會提供漏洞資訊給予廠商並協助修補,但到頭來,廠商都只希望獲得免費服務,所以他們希望轉變商業模式,而廠商可以雇用ReVuln去幫助他們提升軟體安全,讓研究人員的付出轉換成實際收入。
然而,不論SCADA廠商是否該支付費用取得漏洞的細節資料,SCADA存在許多漏洞仍是事實。安全顧問公司IOActive的安全研究人員Ruben Santamarta認為,工業控制系統產業應該要致力排除安全漏洞,而不應該仰賴安全研究人員去確保他們產品的安全,安全公司Secunia首席漏洞安全專家Carsten Eiram表示,從這些被發現的漏洞顯示,很多SCADA廠商需要一個更完善的安全性開發生命週期(security development lifecycle,SDL)。
|
什麼是SCADA?
SCADA系統主要功能是監視控制與資料擷取,其可蒐集不同生產線的數據,以達到控制遠端設備或生產線的目的,可應用在關鍵基礎架構、電力系統、製造工廠以及其他工廠的自動化設備上。
|