尽管新发现的蠕虫可能允许犯罪分子利用默认密码侵入西门子的工业自动化系统,但西门子正告诉客户单独留下密码。
这是因为更改密码可能会中断西门子系统可能会将其管理的大型工业系统投入混乱。西门子工业公司发言人Michael Krampe周一在一封电子邮件中称:“我们很快将发布客户指导,但不会包含改变默认设置的建议,因为这可能会影响工厂运营。”
公司计划推出他说,该网站将于周一晚些时候提供更多关于首次恶意代码的详细信息,以针对该公司的SCADA(监控和数据采集)产品。该蠕虫所针对的西门子WinCC系统用于管理全球范围内正在运行的工业机器,用于构建产品,混合食品,运行发电厂和制造化学品。
[更多阅读:如何从Windows PC中删除恶意软件]西门子正在争先恐后地解决这个问题,因为Stuxnet蠕虫在上周晚些时候首次报道 - 开始蔓延到世界各地。赛门铁克安全响应中心主任Gerry Egan表示,赛门铁克现在每天记录约9000次企图感染病毒,该蠕虫通过USB记忆棒,CD或网络文件共享计算机传播,利用了目前尚未修复的新漏洞在微软的Windows操作系统中。但是,除非在计算机上发现西门子WinCC软件,否则它只是在任何可能的地方复制自身并保持沉默。
由于SCADA系统是关键基础设施的一部分,因此安全专家担心他们有一天可能遭受破坏性攻击,但在这种情况下,蠕虫的这一点似乎是信息被盗用的。
如果Stuxnet确实发现了西门子SCADA系统,它立即使用默认密码开始查找项目文件,然后尝试复制到外部Egan说,“编写代码的人确实知道西门子的产品,”SCADA安全咨询公司Byres Security的首席技术官Eric Byres说。 “这不是一个业余爱好者。”
通过窃取工厂的SCADA秘密,造假者可以学习制造公司产品所需的制造技巧,他说。“
的Byres公司充斥着担心西门子客户的尝试了解如何保持领先地位。
US-CERT为该蠕虫提供了一项咨询(ICS-ALERT-10-196-01),但该信息尚未公开。但Byres指出,更改WinCC密码可防止系统的关键组件与管理它们的WinCC系统交互。 “我的猜测是,如果您禁用了整个密码,基本上会禁用整个系统。”
西门子客户处于困境之中
但他们可以进行更改,以使其计算机不再显示蠕虫使用的.lnk文件从系统传播到系统。他们还可以禁用Windows WebClient服务,该服务允许蠕虫在局域网上传播。上周五,微软发布了一份安全公告,解释了如何做到这一点。“西门子Krampe说:”西门子已经开始开发一种解决方案,可以识别并系统地清除恶意软件。他没有透露软件何时可用。西门子系统的设计是“假设没有人会进入这些密码,”Byres说。 “这是一个假设,没有人会非常努力地反对你。”
蠕虫作者使用的默认用户名和密码自2008年发布到Web以来就已经公开了,Byres说。
Robert McMillan涵盖了
的计算机安全和通用技术突发新闻IDG新闻服务
。在@bobmcmillan的Twitter上关注Robert。罗伯特的电子邮件地址是[email protected]