西门子近日已经警告其客户不要更改默认的硬代码密码来进入他们的WinCC Scada产品,即便是Stuxnet的恶意软件已经利用漏洞在薄弱的基础系统软件中大范围扩散。西门子遭遇密码危机 恶意软件入侵导致系统灾难
根据西门子表示,更改密码将可能影响到机构中关键基础设施的运作,比如公共事业部门以及电力部门。
西门子发言人Michael Krampe周一表示,“我们很快就将会发布用户指导,但这并不包括更改默认设置,因为这将会影响到工厂的运转。”
该恶意软件利用了微软在处理快捷方式类型文件上的零日漏洞,同时也利用了西门子WinCC Scada软件的硬代码密码上的一些设计问题。Scada是一个数据监控以及采集系统,系统可以利用电脑来控制一些关键性基础设施的工作。
安全公司Sophos认为,在受影响的关键基础设施中的IT安全人员可能会面临两种不同的选择:接受在高危环境下继续运作以及修改密码。
Sophos的高级技术顾问Graham Cluley在他周二的一篇博客中表示,“这是一个可怕的情况,良好的安全习惯会促使IT安全管理员去为每一个基础设施设立不同的密码,但是系统给的硬代码不允许系统中存在不同的秘密,如果非要这样做,会导致工作系统中出现混乱。”
西门子周二拒绝对媒体进一步解释该问题,但在他们的官方支持论坛上,他们表示,他们会与微软进行进一步合作,来解决Windows系统层面的问题,此外,记者还了解到,西门子可能会对其默认硬编码密码的策略进行改进。