不只資訊軟體或網站受到史上最危險Heartbleed程式漏洞的威脅,現在連工廠產線的自動化設備都難逃魔掌。西門子最近發布了產品更新公告,說明受到Heartbleed漏洞影響的產品,包括了自動化系統監控和資料擷取功能有關的軟體SCADA(Supervisory Control And Data Acquisition)工具更新,例如,eLAN系統、Windows控制中心辦公軟體(WinCC OA)等。西門子建議,使用者更新產品至最版本,以避免受Heartbleed影響。

臺灣科技大學自動化及控制研究所教授蔡明忠表示,這種SCADA軟體大多應用在自動控制設備、PLC控制器等,像是捷運、電廠、化工廠等設備皆有使用,但大部分是獨立無對外開放,僅供企業內部網路使用,較不受Heartbleed漏洞影響,若是有開放對外的使用情況就有機會受到攻擊。

西門子公告中表示,此次遭受Heartbleed漏洞影響的軟體有eLAN 8.3.3之前的版本和WinCC OA 3.12之前的版本。當企業使用程式化邏輯控制器(Programmable Logic Controllers,PLC)S7-1500 1.5版的HTTPS、或使用工業級乙太網路(Industrial Ethernet)CP 1543-1 1.1版的檔案傳輸協定安全(File Transfer Protocol Secure,FTPS),以及使用APE 2.0產品的SSL(Secure Sockets Layer)或TLS(Transport Layer Security)元件等狀況皆會受到影響。

西門子建議,使用者停用或限制存取S7-1500的網路伺服器,以及CP1543-1的FTPS,而APE 2.0的使用者可以更新產品的OpenSSL安裝至1.0.1g版本。

而美國工業控制系統賽博應急回應小組(ICS-CERT)建議,企業評估Heartbleed漏洞影響要從企業營運環境、架構和產品建置著手。

在內部系統服務的使用上,只要有外部維修人員進入企業協助更新或生及系統時,企業就得注意外部維修人員用來更新升級的工具是USB隨身碟還是光碟,因為USB相較於光碟更容易植入惡意程式來攻擊自動化控制系統,而光碟通常由官方廠商提供,較不易被植入惡意程式,所以透過光碟來更新或升級系統較為安全。

 


Advertisement

更多 iThome相關內容