Több tucat SCADA exploitot hoztak nyilvánosságra

A szoftver, amelyet az atomerőművek, gáz kitermelők és más ipari rendszerek hardvereinek vezérlésére használnak komoly biztonsági megújulás előtt áll, mivel biztonsági kutatót több tucat, komoly sérülékenységet kihasználó exploitot hoztak nyilvánosságra a széles körben elterjedt programhoz.

A hibák, melyek a Siemens, az Iconics, a 7-Technologies, a Datac és a Control Microsystems által forgalmazott programokban vannak sok esetben távoli kód végrehajtást tesznek lehetővé a támadóknak, ha a rendszer kapcsolódik az internethez. Az exploid kódokat két biztonsági csapat hozta nyilvánosságra a múlthét folyamán.

A gyűjtemény legalább 34 sérülékenység PoC (Proof-of-Concept) kódjait is tartalmaz. A kutatók elmondták a bugok többsége tetszőleges kód végrehajtást tesz lehetővé, de vannak olyanok, amelyek kihasználásával a támadók a konfigurációs fájlokban tárolt érzékeny adatokhoz juthatnak és van egy, amellyel tönkretehető az egész eszköz, amin a SCADA vezérlőprogram fut.

http://www.theregister.co.uk/2011/03/22/scada_exploits_released/
http://seclists.org/bugtraq/2011/Mar/187
http://gleg.net/agora_scada.shtml
https://lists.immunityinc.com/pipermail/canvas/2010-December/000002.html