西门子工程师的黑客情结

西
Bookmark(0)

 

西门子工程师在设备固件中暗藏的复活节彩蛋:一堆会跳舞的大猩猩和一句德文谚语

西门子的工程师显然具备着古典Hacker气质,他们在设备的固件中留下的复活节彩蛋不仅仅是会跳舞的大猩猩,同时也给黑客留下了一组人尽可夫的“密码”。

近日安全专家在西门子工业控制系统中再次发现大量漏洞,包括固件中使用的一个固定密码(hard-coded password),这使得黑客能够用恶意命令重新对系统编程,毁坏关键设施并让合法管理员无法登陆系统。
这些漏洞存在于西门子多款可编程逻辑控制器(PLCs)中,这些控制器被用于核电站,制造工厂,医药生产车间,汽车生产线等关键设施中,也是超级蠕虫Stuxnet攻击的对象。
Stuxnet病毒在去年攻击伊朗核实施的行动中一战成名,Stuxnet以西门子Step7软件为突破口,该软件被用于监控和控制西门子的PLC。Stuxnet可以截获并替换Step7软件发往PLC的合法命令。
新发现的漏洞比Stunext更近一步,它可以让黑客绕过Step7软件直接与PLC通讯!其中最严重的一个漏洞是西门子工程师烧录在S7-300 PLC模块固件中的一组用户名和密码被曝光:都是Basisk,这相当于给整个控制系统留下一个后门,黑客可以通过该账户获取整个控制系统和所连接设备的情况,随意进行重新编程。

写评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

头像 By 大胖子

Your sidebar area is currently empty. Hurry up and add some widgets.