據(jù)外媒報道，安全公司Tenable的研究人員在西門子軟件平臺STEP 7 TIA Portal中發(fā)現(xiàn)了一個新的漏洞（CVE-2019-10915），該平臺用于維護核電站等大型關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)。研究人員表示，該漏洞還未在野外被利用，西門子已發(fā)布了補丁。

研究人員表示，攻擊者可利用該漏洞進行網(wǎng)絡(luò)間諜活動、映射網(wǎng)絡(luò)、破壞和泄露數(shù)據(jù)，也可修改系統(tǒng)代碼和邏輯。遠程攻擊者可以通過直接向服務(wù)器發(fā)送WebSocket命令來繞過HTTP身份驗證并訪問所有管理員功能。

一旦進入網(wǎng)絡(luò)，攻擊者就可以在易受攻擊的系統(tǒng)中執(zhí)行管理操作，并將惡意代碼添加到設(shè)施內(nèi)的相鄰工業(yè)控制系統(tǒng)中。攻擊者還可以利用漏洞收集數(shù)據(jù)，以便計劃其他針對性攻擊。傳統(tǒng)的保護工業(yè)控制系統(tǒng)的方法，例如氣隙式分段網(wǎng)絡(luò)或防火墻，可能無法阻止黑客利用漏洞。

研究人員稱，一般漏洞都存在于較為過時的系統(tǒng)中，但是該漏洞在西門子定期修補的現(xiàn)代軟件平臺中被發(fā)現(xiàn)。此外，十年前攻擊伊朗核設(shè)施的Stuxnet惡意軟件影響的西門子設(shè)備與該漏洞影響的設(shè)備相同，因此研究人員猜測此次發(fā)現(xiàn)的漏洞與Stuxnet有關(guān)。