美國的網(wǎng)絡(luò)安全研究人員表示,他們在許多工業(yè)以太網(wǎng)交換機(jī)以及網(wǎng)關(guān)中發(fā)現(xiàn)了大量的安全漏洞,攻擊者可以利用這些漏洞來攻擊工廠中的工業(yè)控制系統(tǒng),而且這些漏洞涉及到制造業(yè)和發(fā)電產(chǎn)業(yè)等多個領(lǐng)域。研究人員在四款以太網(wǎng)交換機(jī)中發(fā)現(xiàn)了許多安全漏洞,但是他們認(rèn)為這些同樣的問題也有可能出現(xiàn)在其他廠商的設(shè)備上。

IOActive公司的Colin Cassidy和Eireann Leverett,以及Dragos安全公司的Robert Lee都是該項(xiàng)目的研究人員。在本月舉辦于美國拉斯維加斯的2015黑帽黑客大會上,他們將研究成果公布了出來。他們在演講的過程中(演講標(biāo)題為"Switches get Stitches"),集中描述了他們在五個系列的產(chǎn)品中所發(fā)現(xiàn)的總共11個安全漏洞,這些產(chǎn)品來自于西門子,GarrettCom, GE 以及 OpenGear等公司。

根據(jù)研究人員的描述,大多數(shù)的工業(yè)系統(tǒng)協(xié)議都缺乏身份驗(yàn)證機(jī)制或密碼完整性,所以如果黑客攻擊了這些交換機(jī),就可以使這些交換機(jī)安裝惡意固件,并允許攻擊者對工業(yè)生產(chǎn)過程進(jìn)行中間人(MITM)操作。這種中間人(MITM)攻擊可以導(dǎo)致工廠設(shè)備停止運(yùn)行,或者使生產(chǎn)設(shè)備進(jìn)入一種未知的危險(xiǎn)狀態(tài)。

在黑帽黑客大會上,研究人員將他們在以太網(wǎng)交換機(jī)中發(fā)現(xiàn)的漏洞信息披露了出來。除此之外,研究人員還給大家演示了他們在查找這些漏洞的過程中所使用的方法。

目前,研究人員已經(jīng)將這些漏洞的詳細(xì)信息報(bào)告給了以太網(wǎng)交換機(jī)的供應(yīng)商了。但是他們指出,如果需要修復(fù)已經(jīng)投入使用的Scada以及ICS(工業(yè)控制系統(tǒng))中所有漏洞的話,可能需要花費(fèi)至少三年的時間。由于這種滯后性,研究人員給那些工業(yè)控制系統(tǒng)的用戶們提供了一些緩解方案,用戶們可以立刻采用這些技術(shù)措施來保護(hù)設(shè)備的安全。

在一次新聞發(fā)布會上,Cassidy指出:“這些工業(yè)以太網(wǎng)交換機(jī)可以給提供很多的配置選項(xiàng),你可以將某些功能開啟或修改相應(yīng)的配置,以此來提升設(shè)備的安全性能。"

網(wǎng)絡(luò)安全專家們贊揚(yáng)了OpenGear公司的快速響應(yīng)能力。OpenGear公司在得到了漏洞信息之后,便迅速開發(fā)出了相應(yīng)的安全更新補(bǔ)丁。

新聞報(bào)道稱:“OpenGear公司能夠?qū)ρ芯咳藛T所提供的漏洞報(bào)告進(jìn)行快速地反應(yīng),研究人員也對此表示贊揚(yáng)。除此之外,OpenGear還在一周不到的時間內(nèi)修復(fù)了其中一款交換機(jī)中的漏洞,這足以讓其他的交換機(jī)制造商感到羞愧。"

這些網(wǎng)絡(luò)安全研究人員在黑帽黑客大會上進(jìn)行演講的時候,將他們在以太網(wǎng)交換機(jī)中發(fā)現(xiàn)的11個漏洞披露了出來,其中包括弱身份驗(yàn)證以及明文密碼等設(shè)計(jì)缺陷。他們還補(bǔ)充說到:“他們還有更多有關(guān)這些漏洞的信息沒有說完。

科迎法工業(yè)以太網(wǎng)接插件產(chǎn)品可直接替代：Turck、Binder、Lumberg、Sick、Balluff、P+F等公司產(chǎn)品。

可選線纜顏色：黑色，灰色。

可選線纜材質(zhì)：PVC(防油等級低),TPU（防油等級高）。

可選線纜長度：2M,3M,5M,10M,15M,20M(量多者長度可自選，科迎法是國內(nèi)生產(chǎn)廠家，線材均采購與正規(guī)廠家均可提供正規(guī)的材質(zhì)報(bào)告)。

可選芯數(shù)：3-p,4-p,5-p,6-p,8-p,12-p。（不同產(chǎn)品芯數(shù)不一，請致電：詳細(xì)了解）

屏蔽性：屏蔽線纜（插頭包括360度屏蔽）和非屏蔽線纜

公司宗旨：專注于連接技術(shù)研發(fā)與生產(chǎn)   

                 創(chuàng)造品牌       

                       快捷、快速、解決客戶常規(guī)與非常規(guī)連接需求    

                              成就可靠供方

科迎法公司堅(jiān)持創(chuàng)新、創(chuàng)新、再創(chuàng)新的思路，堅(jiān)持"定制化"發(fā)展方向，用戶的需要就是我們的工作，接受特種訂制服務(wù)。

上?？朴姎饪萍加邢薰荆瑢I(yè)、專注于電氣連接產(chǎn)品的研發(fā)、生產(chǎn)、營銷、服務(wù)的高新科技技術(shù)企業(yè)，通過了ISO9000質(zhì)量體系認(rèn)證。型譜系列產(chǎn)品成功取得了歐盟CE認(rèn)證，質(zhì)量可靠性與技術(shù)標(biāo)準(zhǔn)已達(dá)到、國內(nèi)技術(shù)先進(jìn)水平。產(chǎn)品設(shè)計(jì)時充分應(yīng)用符合ROHS環(huán)保原材料，確保了科迎法電氣連接產(chǎn)品綠色性能。管理細(xì)節(jié)的有效控制，保證了供期的確定性與質(zhì)量的穩(wěn)定性。