西门子ICS软件中的漏洞遭披露,难以阻止黑客利用漏洞
据外媒报道,安全公司Tenable的研究人员在西门子软件平台STEP 7 TIA Portal中发现了一个新的漏洞(CVE-2019-10915),该平台用于维护核电站等大型关键基础设施的工业控制系统。研究人员表示,该漏洞还未在野外被利用,西门子已发布了补丁。
研究人员表示,攻击者可利用该漏洞进行网络间谍活动、映射网络、破坏和泄露数据,也可修改系统代码和逻辑。远程攻击者可以通过直接向服务器发送WebSocket命令来绕过HTTP身份验证并访问所有管理员功能。
一旦进入网络,攻击者就可以在易受攻击的系统中执行管理操作,并将恶意代码添加到设施内的相邻工业控制系统中。攻击者还可以利用漏洞收集数据,以便计划其他针对性攻击。传统的保护工业控制系统的方法,例如气隙式分段网络或防火墙,可能无法阻止黑客利用漏洞。
研究人员称,一般漏洞都存在于较为过时的系统中,但是该漏洞在西门子定期修补的现代软件平台中被发现。此外,十年前攻击伊朗核设施的Stuxnet恶意软件影响的西门子设备与该漏洞影响的设备相同,因此研究人员猜测此次发现的漏洞与Stuxnet有关。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
西门子
+关注
关注
98文章
3272浏览量
119745 -
黑客
+关注
关注
3文章
284浏览量
22968
原文标题:研究人员披露了西门子ICS软件中的漏洞
文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
热点推荐
西门子推出Tessent IJTAG Pro
西门子数字化工业软件宣布推出 Tessent IJTAG Pro,通过将传统的串行执行的操作转变为并行操作,实现基于 IEEE1687 标准的 IJTAG 输入 / 输出方式的革新,同时提供对定制化
战略携手!沃飞长空与西门子数字化工业软件签约
近日,沃飞长空CEO兼首席科学家郭亮一行6人拜访西门子智能制造(成都)创新中心,并与西门子数字化工业软件宣布达成战略合作。 未来双方将围绕eVTOL的研发、制造和运维展开深度合作,共同推动低空交通
西门子mPower软件助力联华电子加速EM/IR分析
西门子数字化工业软件宣布,半导体晶圆代工厂联华电子 (United Microelectronics Corporation, UMC) 目前已部署西门子的 mPower 软件,用于电
西门子发布关于美国解除近期对中国EDA出口限制的声明
(EDA) 软件及技术的管制限制现已不再适用 。 据此,在遵守适用出口管制法律法规的前提下,西门子已恢复对出口管制分类编号 (ECCNs) 为 3D991 和 3E991 的软件与技术的完整访问权限,并 已恢复对中国客户的销售
新思科技(Synopsys)、西门子、楷登电子(Cadence)三大巨头恢复对华EDA销售
新思科技(Synopsys)、西门子、楷登电子(Cadence)三大芯片设计软件巨头正式恢复对华供货;意味着美国已正式取消对中国芯片设计软件(EDA)出口限制。 据外媒彭博社报道,美国商务部已通知
美取消对中国芯片设计软件出口限制 西门子已恢复中国客户对其软件和技术的全面访问
据央视新闻报道,美国已取消对中国芯片设计软件的出口限制。 据悉,在当地时间的7月2日德国西门子证实了该消息,德国西门子称收到美国政府通知已取消对中国芯片设计软件的出口限制;可以出口。目
工业智能网关可以采集西门子PLC吗
工业智能网关可以采集西门子PLC的数据。物通博联提供全面接入西门子PLC的数据采集解决方案,其工业智能网关支持多种网络制式,可采集各种工业设备数据,包括主流PLC品牌如西门子、施耐德、三菱、欧姆龙
西门子再收购EDA公司 西门子宣布收购Excellicon公司 时序约束工具开发商
开发、验证及管理时序约束的软件纳入西门子EDA的产品组合。此次收购将帮助西门子提供实施和验证流程领域的创新方法, 使系统级芯片 (SoC) 设计人员能够优化功耗、性能和面积 (PPA),加快设计速度,增强功能约束和结构约束的正
如何利用iptables修复安全漏洞
随着网络安全威胁的不断增加,安全中心扫描越来越频繁。尤其是在大数据安全中心的漏洞报告中,许多漏洞在生产环境中无法通过服务升级来修复。
西门子荣获IDC MarketScape MES领导厂商称号
近日,西门子数字化工业软件在IDC MarketScape发布的《2024-2025全球制造执行系统供应商报告》中脱颖而出,被评为制造执行系统(MES)领导厂商。这一荣誉标志着西门子在
微软Outlook曝高危安全漏洞
行为者瞄准的目标。 CISA在公告中明确要求,所有美国联邦机构必须在2月27日之前为其系统部署相应的补丁措施,以防范该漏洞带来的潜在风险。这一紧迫性凸显了漏洞的严重性及其对国家安全构成的威胁。 据悉,已有
AMD与谷歌披露关键微码漏洞
近日,AMD与谷歌联合公开披露了一个在2024年9月发现的关键微码漏洞,该漏洞主要存在于AMD的Zen 1至Zen 4系列CPU中,特别是针对服务器/企业级平台的EPYC CPU。 这
工商网监
评论