工業(yè)網(wǎng)絡(luò)及控制系統(tǒng)面臨嚴重安全威脅

　　這無疑使得ICS的安全性更為薄弱，而且需要完全由供應(yīng)商負責(zé)找到并解決安全漏洞。此次發(fā)布的三項公告所援引的全部已發(fā)現(xiàn)漏洞皆由供應(yīng)商獨立識別并報告——然而，我們卻很難驗證其修復(fù)手段是否真正解決了問題。

　　最近曾發(fā)現(xiàn)羅克韋爾IAB安全漏洞的IvanSanchez對此感到相當(dāng)震驚。在日常工作當(dāng)中，他不斷搜索并發(fā)現(xiàn)新的ICS安全漏洞。就在去年，他發(fā)布報告指出，單是羅克韋爾公司一家的產(chǎn)品就存在超過150項風(fēng)險問題。一般來講，在報告相關(guān)問題之后，相關(guān)企業(yè)都會向他做出進一步咨詢。

　　“在95%的情況下，企業(yè)會請求我重新進行測試，然后再發(fā)布最終公告意見，”Sanchez在接受采訪時指出?！拔艺J為企業(yè)應(yīng)當(dāng)詢問相關(guān)安全漏洞的具體細節(jié)，而非對只對當(dāng)前發(fā)現(xiàn)的問題表示‘感謝’。”

　　公告ICSA-16-056-01描述了羅克韋爾自動化公司旗下集成化架構(gòu)構(gòu)建工具(簡稱IAB)應(yīng)用中的一項內(nèi)存訪問沖突錯誤。一旦被成功利用，其將允許攻擊者以等同于IAB工具的權(quán)限執(zhí)行惡意代碼。其只能由本地用戶加以利用，而且目前已經(jīng)得到修復(fù)。不過在安裝最新版本之前，仍然建議用戶避免利用打開任何非受信項目文件;另外，應(yīng)以‘用戶’角色運行全部軟件，而非以‘管理員’角色運行。

　　公告ICSA-16-061-03描述了一項基于cookie的安全漏洞，其允許遠程攻擊者通過EG2WebControl對EatonLightingSystems進行配置。Eaton方面已經(jīng)修復(fù)了這項漏洞，但仍需時間將其推廣至全部系統(tǒng)當(dāng)中。

　　公告ICSA-16-096-01描述了Pro-face旗下GP-ProEXHMI軟件中的四項安全漏洞：其一導(dǎo)致信息泄露，兩項屬于緩沖區(qū)溢出，另一項則為硬編碼憑證問題。目前四項漏洞皆已得到修復(fù)。

　　一系列強有力的證據(jù)表明，目前ICS安全問題要遠比Fortinet博文中的陳述更加可怕。

　　事實上，IvanSanchez在采訪中表示，“ICS業(yè)界必須改進自身代碼質(zhì)量并引入安全與審計控制機制。我已經(jīng)對三成已經(jīng)發(fā)現(xiàn)的問題進行了公布，而該行業(yè)還沒有充足的時間將其全部修復(fù)——因此我的說，這絕對是個大麻煩。”

　　盡管問題的客觀性已經(jīng)成為共識，但就目前而言其很大程度上仍只是種潛在問題。

　　《化工設(shè)施安全新聞》作者PatrickCoyle解釋稱，“一方面，幾乎每一套控制系統(tǒng)當(dāng)中都存在著大量安全漏洞，我們需要對其認真評估并阻止一切將其作為目標的入侵活動。而在另一方面，這些ICS控制系統(tǒng)實在太過復(fù)雜，組織起有效的進攻方案需要極為豐富的ICS相關(guān)專業(yè)知識?！?/FONT>