施耐德PLC現(xiàn)密碼脆弱性 可造成設備癱瘓

　　在發(fā)現(xiàn)其莫迪康M340 PLC家族產品的密碼脆弱性之后，施耐德電氣對十幾個以太網(wǎng)通信模塊和CPU進行了固件升級，以防密碼脆弱性被遠程利用而造成設備無法正常運行。

　　這一脆弱性是由美國工業(yè)網(wǎng)絡安全專家CyberX發(fā)現(xiàn)的，在登陸設備網(wǎng)絡服務器時輸入一長串密碼(至少65個字符)即可觸發(fā)。無需輸入用戶名，只要一點擊OK按鈕就會造成設備癱瘓。

　　施耐德已發(fā)布公告承認通過創(chuàng)建密碼可進入服務器遠程執(zhí)行設備存儲代碼是很有可能的，但這一可能性尚未被證實。公告還列出了受影響的設備。

　　美國工業(yè)控制網(wǎng)絡應急響應小組(ICS-Cert)發(fā)出了一個脆弱性報告指出，攻擊者只要略施小計就可利用這一脆弱性進行破壞。

　　CyberX于2015年10月向施耐德電氣報告了這一脆弱性，并指出其潛在的影響是非常廣泛的。

　　施耐德方面也對一些受影響的產品進行了固件升級并計劃本月進行更進一步的升級。公司還建議堵住受影響設備上的80端口。