Windows 7、TeamViewer、共用密碼、沒防火牆四大安全缺陷，造成美國淨水廠遭駭

上周美國一家淨水廠遭駭客遠端控制重要系統，差點造成危害水質。麻州政府於本周發布公告，指出釀禍原因在使用了Windows 7、TeamViewer，以及沒裝防火牆、共用密碼等不安全的環境及使用行為。

上周五早上，美國佛羅里達州位於奧德馬爾（Oldsmar）市的淨水處理廠，內部電腦軟體遭不明人士透過TeamViewer連線存取，企圖將用於改善水質的氫氧化鈉濃度，從正常的100 ppm調高到危險的11,100 ppm。雖然最後因為管理員發現而未釀成大禍，但也引發恐慌。

麻州政府在對公共給水業者的公告中，說明整起事件的肇禍癥結。佛州這家淨水廠將遠端桌面軟體TeamViewer，安裝在淨水廠管理員用來檢查系統狀態及問題排除（troubleshoot）的其中一臺電腦上。管理員使用的所有電腦都連上了系統監控和資料蒐集（SCADA，Supervisory Control And Data Acquisition）系統，也都還在跑32-bit Windows 7作業系統。此外，所有電腦共享同一組遠端存取的密碼，且似乎也都直接連上網際網路，公司系統沒有任何防火牆防護。

同時間，ZDNet引述FBI本周發出的民間產業通知（Private Industry Notice，PIN），警告使用微軟已不支援的Windows 7、弱密碼及TeamViewer等桌面共享軟體有高風險，呼籲民間和聯邦政府機關檢查內部網路和存取政策。

FBI更指出TeamViewer讓攻擊者得以遠端控制受害電腦或植入惡意檔案，好比RAT。但是它比RAT風險更高，因為攻擊者合法使用TeamViewer，會降低終端用戶與管理員對異常活動的警覺性。

麻州政府建議公共給水業者嚴禁SCADA系統的遠端連線，特別是允許實際控管和操弄SCADA網路內的裝置，最好以單向式監控裝置來監控SCADA系統，也應安裝防火牆軟、硬體，防火牆不得和非授權來源連線。

其次，應將電腦、裝置的軟體及應用程式，包括SCADA／工控系統軟體升級到最新版本，確實安裝修補程式，其中應優先修補有已知漏洞的連網系統，以及處理網際網路資料的軟體，像是瀏覽器、瀏覽器外掛或文件讀取器等。最後，應啟用具強密碼的雙因素驗證，也最好以VPN等安全連線來遠端存取。