据国外媒体报道,总部位于美国波士顿的核心安全技术公司CST(Core Security Technologies Inc)安全技术研究人员于当地时间本周三严正表示,互联网攻击者可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
发现大型工程自动化软件安全漏洞的CST安全专家们在发表相应的安全咨询之前曾向美联社(The Associated Press)详细描述过该问题,他们表示,幸好目前依然没有证据表明有任何人发现或者利用这些安全漏洞。
在CST首次告知自家自动化系统CitectSCADA软件安全漏洞五个月之后,悉雅特公司(Citect Pty)于上周就发布了该安全漏洞的补丁程序。但是这种安全漏洞也会出现在其他的监控软件或者类似于CitectSCADA系统的软件之上。此外是不是所有的Citect的客户都安装了这个安全补丁尚且不得而知。
据了解,SCADA系统的远程控制终端计算机可以控制诸如供水管阀门、烘干设备器材甚至核电站的安全系统等大型工程化设备。使用SCADA系统的客户有智利的天然气管道公司、澳大利亚的铜矿和博茨瓦纳的钻石矿公司、德国的制药工厂、美国路易斯安州那和北卡罗莱纳州的污水处理厂等。
如果能够利用该系统的安全漏洞获取设备的控制权,先决条件是被攻击系统网络必须是和互联网处于连接状态。尽管有原则上来说工程系统的网络是不允许连接互联网,但是还是不排除原则松懈的可能,比如控制中心计算机与接驳有路由器的电脑连接。
安全专家指出尽管可能性不大,但是黑客一旦控制该系统,就意味着可能利用被感染的控制中心系统切断整个城市的供电系统,恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的工程系统内部网络接入到互联网当中,这种可能就越来越大。
CST首席技术官Ivan Arce在接受外没采访时称,“这并不是一个复杂的技术问题,如果我们发现这个并不是特别严重的问题,别人就会很轻易地解决这个安全隐患。”悉雅特在其官方声明中强调了CST关于让客户将其自家的SCADA系统与互联网彻底隔离或者使用足够安全的防火墙以及其他能够确保阻止系统与外界网络通信的技术。
专家指出悉雅特软件产品的安全漏洞是一种很常规的安全隐患类型,通常被称作“缓冲区溢出”(buffer overflow)即黑客通过向控制终端发送过多的数据包来获取控制权。