安全調(diào)查員發(fā)現(xiàn)工業(yè)以太網(wǎng)交換機安全漏洞

時間:2015-08-24

來源:網(wǎng)絡(luò)轉(zhuǎn)載

導(dǎo)語:給現(xiàn)場環(huán)境的“中間人攻擊”(MITM)操控創(chuàng)建惡意固件更新。這樣的MITM攻擊可導(dǎo)致工廠或流程關(guān)閉,或進入未知和危險的狀態(tài)。在黑帽大會上,研究人員透露,他們在以太網(wǎng)交換機的默認(rèn)配置中發(fā)現(xiàn)漏洞,同時還展示了發(fā)現(xiàn)這些漏洞的方法。

美國網(wǎng)絡(luò)安全研究人員指出,他們發(fā)現(xiàn)工業(yè)以太網(wǎng)交換機和網(wǎng)關(guān)存在漏洞,從制造業(yè)到電力生產(chǎn)業(yè)的工業(yè)控制系統(tǒng)容易遭受攻擊。他們在四大品牌制造商的以太網(wǎng)交換機中發(fā)現(xiàn)安全漏洞問題,但他們認(rèn)為其他設(shè)備可能存在類似的問題。

來自O(shè)Active的研究人員科林·卡西迪和艾琳·萊弗里特以及來自DragosSecurity的羅伯特·李這個月在拉斯維加斯舉行的黑帽安全會議披露了他們的研究結(jié)果。他們的陳述(叫作“SwitchesgetStitches”)主要關(guān)注他們從四大品牌供應(yīng)商包括西門子、格雷特、通用電氣、OpenGear的五大系列產(chǎn)品中發(fā)現(xiàn)的11個安全漏洞問題。

據(jù)研究人員介紹,大多數(shù)工業(yè)系統(tǒng)協(xié)議缺乏認(rèn)證或加密完整性,會危及到交換機的安全性,

給現(xiàn)場環(huán)境的“中間人攻擊”(MITM)操控創(chuàng)建惡意固件更新。這樣的MITM攻擊可導(dǎo)致工廠或流程關(guān)閉,或進入未知和危險的狀態(tài)。在黑帽大會上,研究人員透露,他們在以太網(wǎng)交換機的默認(rèn)配置中發(fā)現(xiàn)漏洞,同時還展示了發(fā)現(xiàn)這些漏洞的方法。

他們將此漏洞情況告訴交換機的供應(yīng)商,同時指出,這可能需要三年來對運行在現(xiàn)場環(huán)境中的SCADA和ICS(工業(yè)控制系統(tǒng))進行補丁修補。由于這種滯后性,研究人員提出了一些可現(xiàn)場立即使用的緩解措施來保護系統(tǒng)。

網(wǎng)絡(luò)安全專家對OpenGear能迅速發(fā)布補丁對已發(fā)現(xiàn)補丁進行修補表示贊賞。

在新聞發(fā)布會上,卡西迪指出,“很多這樣的交換機都具有相應(yīng)配置,您可以通過打開或修改配置,以加強你的安全”。

研究人員對OpenGear就漏洞報告的反應(yīng)速度稱贊。該公司在不到一周的時間就發(fā)布了其中一款交換機的補丁,“讓其廠商覺得無地自容”,他們報告表示。

更多資訊請關(guān)注工業(yè)以太網(wǎng)頻道

中傳動網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(www.wangxinlc.cn)獨家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。

如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。

關(guān)注伺服與運動控制公眾號獲取更多資訊

關(guān)注直驅(qū)與傳動公眾號獲取更多資訊

關(guān)注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

娓娓工業(yè)

廣州金升陽科技有限公司

熱搜詞
  • 運動控制
  • 伺服系統(tǒng)
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅(qū)系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0