西門子發布WinCC和Step7等工業軟件安全補丁

　　西門子已經發布了數份建議性通知，建議使用SimaticStep7、PCS7和WinCC工業軟件的用戶安裝安全補丁，以防止任何的網絡攻擊。這些補丁是專門為彌補類似于超級工廠(Stuxnetworm)病毒造成的缺陷而設計。2010年，超級工廠(Stuxnetworm)病毒破壞了伊朗核項目的離心分離機。

　　盡管西門子的通知中沒有提及超級工廠病毒，但是他們表示補丁是專門為彌補2010年首次發現的缺陷而設計。

　　第一條建議是針對缺陷影響V5.5+SP1(5.5.1)之前的Step7版本和影響V7.1SP3之前的PCS7。這些項目包含一個DLL(動態鏈接庫)裝載機制，攻擊者能夠去掉該機制而執行隨意代碼。

　　受到影響的Step7版本允許DLL文件被裝載在項目文件夾中，從而攻擊裝有Step7的系統。攻擊者能將隨意的文件放到項目文件夾中，開機時那些隨意文件會自動裝載而不用經過認證。隨后，Step7的應用允許執行這些代碼。

　　如果項目文件夾放到互聯網上進行共享，攻擊者能夠進入到文件夾所在地址，并在里面放置一些特殊的亂碼。如果Step7在該途徑下打開項目，應用會自動安裝該亂碼。西門子指出，為了達到該目的，攻擊者須要進入Step7項目的文件夾，或知道系統的登陸密碼。

　　第一條建議描述了西門子在2010年和2011年修補缺陷的具體步驟。去年，西門子發布了一個軟件升級執行機制，以讓含有可執行碼的Step7項目文件夾拒絕DLL，因此能阻止執行那些未經認證的代碼。

　　Step7升級到V5.5SP1(5.5.1)，修復缺陷，但是西門子建議使用Step7和PCS7的用戶盡快安裝最新的補丁包--V5.5SP2。

　　第二條建議針對V7.0SP2Update1之前SimaticWinCC版本和V7.1SP2之前的SimaticPCS7版本所存在的缺陷。這些安裝包使用的是預定義SQL服務器認證碼，能夠允許管理者進入系統數據庫。用戶不能更改或取消這些認證碼，管理者可以使用這些認證碼遠程進入數據庫服務器。

　　西門子彌補了WinCCV7.0SP2Update1(7.0.2.1版本)的缺陷，并進行了最新的升級。最新的版本是Update2，去除了預定義的認證碼，轉向Windows認證機制。西門子"強烈建議"盡快安裝該更新包，并表示該安裝包也適用于SimaticPCS7的用戶。

　　有關西門子的公告，美國工業控制系統網絡緊急應變小組(ICS-CERT)已經發布了自己的相關建議。

　　芬蘭網絡安全專家公司芬安全(F-Secure)已經收到來自在伊朗原子能組織(AEOI)供職的科學家的郵件，稱伊朗的核項目"再一次受到來自一種新病毒的威脅和攻擊，已經關閉了我們在納坦茲的自動化網絡和位于庫姆附近的另一個工廠。"發郵件的人說自動化網絡和西門子硬件都受到了攻擊并已被關閉。

　　芬安全(F-Secure)公司表示，不能確認報告攻擊的具體細節，但是能確認郵件是從AEOI內部發出。