วันนี้บริษัท Siemens ปล่อยแพตช์อุดช่องโหว่ซอฟต์แวร์ WinCC ที่ใช้ควบคุมและมอนิเตอร์ระบบ SCADA โดยอุดรูรั่วไปสองบั๊ก มีความร้ายแรงสูงทั้งคู่

ช่องโหว่ CVE-2014-8551 ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันในระบบได้จากระยะไกล (remote code execution) โดยไม่ต้องยืนยันตัวตนผู้ใช้ แฮกเกอร์เพียงแต่สร้างแพ็กเก็ตข้อมูลพิเศษขึ้นมา ช่องโหว่นี้มีความร้ายแรงตามระบบให้คะแนน CVSS อยู่ที่ 10.0 คะแนน

ช่องโหว่ CVE-2014-8552 ทำให้แฮกเกอร์ส่งข้อมูลเข้ามายังเซิร์ฟเวอร์ WinCC เพื่อบังคับให้ดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ที่แฮกเกอร์ต้องการได้ ความร้ายแรงตาม CVSS อยู่ที่ 7.8 คะแนน

ช่องโหว่ทั้งสองสามารถถูกแฮกจากแฮกเกอร์ที่ความสามารถไม่สูงนัก (low skill) ความเสี่ยงที่จะถูกโจมตีจึงสูงมาก ผู้ดูแลระบบควรรีบติดตั้งแพตช์โดยเร็ว

ระบบ SCADA เป็นระบบสื่อสารที่ใช้งานกันในการควบคุมโครงสร้างพื้นฐานและโรงงาน รวมไปถึงโรงงานผลิตไฟฟ้า, ระบบน้ำประปา, ระบบระบายน้ำเสีย, ไปจนถึงระบบควบคุมอุณหภูมิตามอาคาร

ที่มา - ICS-CERT, The Register