SIEMENS貴陽市西門子（授權）中國總代理-西門子西南區一級總代理商

西門子公司的一些新型可編程邏輯控制器 (PLC) 存在隱藏功能，使設備面臨攻擊風險。修復已提上日程。

（1）可攻可守的新型西門子可編輯邏輯控制器

研究人員發現，某些新型西門子可編程邏輯控制器 (PLC) 的一個非正式訪問功能可被攻擊者當做攻擊武器，也可成為防御者的取證工具。

在研究西門子 S7-1200 PLC 的引導程序時，德國波鴻魯爾大學的研究人員發現了該基于硬件的特殊訪問功能。PLC 引導程序在設備啟動時處理軟件更新和驗證 PLC 固件完整性。

研究人員發現，使用該特殊訪問功能的攻擊者可在 PLC 啟動的半秒內繞過引導程序的固件完整性檢查，加載惡意代碼奪取 PLC 過程的控制權。

但此特殊訪問功能為什么會存在于這些 PLC 中仍是一個迷。供應商在嵌入式設備中留下隱藏維護端口的例子并非沒有，但西門子 PLC 中留下的這個卻讓研究人員頗為困惑。

我們不知道為什么西門子會有這個功能。從安全角度看，有這么個東西是不對的，因為你也能讀寫內存并從 RAM 中轉儲該內存內容。

研究人員向西門子報告了自己的發現，西門子表示正在開發漏洞補丁。

該公司在媒體聲明中稱：西門子注意到了波鴻魯爾大學關于 SIMATIC S7-1200 CPU 硬件特殊訪問的研究，專家組正在開發該問題的解決方案。西門子公司將在安全咨詢中發布有關該漏洞的進一步信息，并通過西門子產品計算機應急響應小組通信頻道通知客戶。

一個關鍵問題是：修復是否需要硬件更換而非軟件更新。被問及此 PLC 修復是硬件還是軟件更新時，西門子稱其 “專家正在評估可供選擇的方案。”

不過，西門子 PLC 特殊訪問功能也不是全然沒有任何好的方面：該功能對保護設備安全的人有用，可供 PLC 內存取證使用。

研究人員可使用該特殊訪問功能查看 PLC 內存內容，也就是說，工廠運營商可以發現自己設備上可能被植入的惡意代碼。西門子不讓用戶查看 PLC 內存內容，但你可以用此特殊訪問功能查看。

下月在倫敦舉行的歐洲黑帽大會上，研究人員將展示他們的研究發現，并發布一款執行此取證內存轉儲的工具。

（2）他們做了什么

在未觸發引導程序校驗和檢測的情況下，研究人員成功通過 PLC 固件更新功能向其閃存芯片中寫入了自己的代碼。他們表示，問題在于如何緩解此類攻擊，因為惡意代碼可被嵌入引導程序閃存。

全看西門子是否能通過軟件更新修復了。如果西門子能用軟件修復，就意味著攻擊者也可覆蓋引導程序內容，換句話說，沒辦法徹底解決此問題。

這是研究人員要發布此固件內容轉儲工具的原因之一。在此工具幫助下，攻擊者無法繼續藏身于 PLC 中。

可實際接觸該端口，或可在供應鏈制造過程中裝配 PLC 的攻擊者，就可以使用此技術讀寫設備內存。這樣他們就能操縱 PLC 運行，比如提供虛假讀數或其他儀表數據。

新交付的 PLC 中存在此信任概念就是一大問題。

并非此特殊訪問功能本身讓用戶可讀寫閃存。閃存讀寫的實現是一系列功能巧妙組合的結果，運用這些功能可使用戶能夠在設備上執行自己的代碼。而一旦能夠執行自己的代碼，也就能完全控制此 PLC 了。

（3）支持西門子安全

研究人員稱，選擇研究西門子的 PLC 是因為西門子是市場lingdaozhe，也因為公眾對 PLC 操作系統知之甚少。

盡管現在很多嵌入式系統仍然安全防護不周，但相比其他供應商，西門子在安全方面做了更多工作。

老實說，西門子的 PLC 可算行業dingjian了。他們一直在增加研究人員必須繞過的各種功能和安全特性。西門子做了很多工作以保持在嵌入式安全領域的lingxian位置。

即便如此，研究人員堅稱，還需做更多工作以保護工廠運營商的 PLC 不受攻擊者或供應鏈腐敗的破壞。如果有類似西門子 PLC 中的那種特殊功能，供應商應通告其客戶。客戶理應知曉此信息，這樣他們才能在風險評估中將之納入考慮。

波鴻魯爾大學團隊的研究工作是一系列 PLC 研究項目中Zui新的一個。今年夏天，發現使用同一固件的現代 S7 系列 PLC 共享同一公共加密密鑰后，另一組安全研究人員建立了一個虛假工程工作站，可欺騙并篡改西門子 S7 PLC 操作。

2016 年，此研究團隊中的安全研究員 Abbasi 創建了一個 PLC rootkit，可在任意品牌的 PLC 上執行。