วันนี้บริษัท Siemens ปล่อยแพตช์อุดช่องโหว่ซอฟต์แวร์ WinCC ที่ใช้ควบคุมและมอนิเตอร์ระบบ SCADA โดยอุดรูรั่วไปสองบั๊ก มีความร้ายแรงสูงทั้งคู่
ช่องโหว่ CVE-2014-8551 ทำให้แฮกเกอร์สามารถส่งโค้ดเข้ามารันในระบบได้จากระยะไกล (remote code execution) โดยไม่ต้องยืนยันตัวตนผู้ใช้ แฮกเกอร์เพียงแต่สร้างแพ็กเก็ตข้อมูลพิเศษขึ้นมา ช่องโหว่นี้มีความร้ายแรงตามระบบให้คะแนน CVSS อยู่ที่ 10.0 คะแนน
ข่าวนี้ต่อเนื่องจากข่าวแฮกเกอร์เจาะระบบ SCADA แล้วทำลายปั๊มน้ำไป มาวันนี้กระทรวงความมั่นคง (Department of Homeland Security - DHS) และ FBI ได้ตรวจสอบแล้วพบว่าไม่มีหลัก
เราเคยได้ยินประเด็นความปลอดภัยของระบบ SCADA มาหลายครั้งนับแต่นักวิจัยชาวรัสเซียออกเตือนเรื่องช่องโหว่ และการพบหน้าเว็บควบคุมระบบ SCADA ในเสิร์ชเอนจินต์ แต่ครั้งล่าสุดแฮกเกอร์ก็สามารถเข้าควบคุมปั๊มน้ำของเมืองสปริงฟิลด์ รัฐอิลลินอยส์ได้เป็นผลสำเร็จ และสั่งเปิดปิดปั๊มสลับไปมาจนกระทั่งปั๊มเสียหาย
ที่งานประชุมวิชาการ Black Hat ปีนี้ ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Red Tiger Security ได้ขึ้นเวทีนำเสนอการค้นพบว่าอุปกรณ์ SCADA ที่มีเว็บเซิร์ฟเวอร์ในตัวถูกปล่อยให้เชื่อมต่อกับอินเทอร์เน็ตเอาไว้อย่างหละหลวม และอุปกรณ์หลายตัวสามารถค้นหาผ่านกูเกิลได้
ทีมวิจัยคือ Jonathan Pollet และ Daniel Michaud-Soucy ไม่เปิดเผยว่าพวกเขาใช้คำค้นหาใดในที่จะเจออุปกรณ์ SCADA เหล่านี้ แต่บอกเพียงว่าบางรายการ ผลการค้นหาระบุว่ารหัสผ่านของอุปกรณ์คือ "1234" อุปกรณ์ที่ค้นพบเช่น "RTU pump status" ซึ่งเป็นระบบรายงานผลระบบท่อน้ำ อีกรายการหนึ่งคือหม้อแปลงของบริษัท ABB Transformer ที่ไม่มีรหัสผ่านใดๆ ทำให้ทุกคนสามารถเข้าไปดูสถานะของเบรกเกอร์แต่ละตัวที่บริษัทนี้ดูแลอยู่ในลอนดอนได้
Luigi Auriemma นักวิจัยด้านความปลอดภัยชาวรัสเซียได้ทดสอบความปลอดภัยของซอฟต์แวร์ควบคุมอุปกรณ์ SCADA หลายยี่ห้อ เช่น Siemens, Iconics, 7-Technologies, และ DATAC พบว่าทั้งหมดมีปัญหาความปลอดภัยหลายต่อหลายประการ
ปัญหาที่พบในซอฟต์แวร์เหล่านี้มีตั้งแต่ Stack Overflow, Heap Overflow, Integer Overflow, การสั่งรันคำสั่งภายนอก, การจัดรูปแบบสตริง, การคืนหน่วยความจำซ้ำซ้อน, หน่วยความจำผิดพลาด, การเข้าถึงไดเรกทอรี, ตลอดจนปัญหาจากการออกแบบอื่นๆ จากซอฟต์แวร์ทั้งหมดรวมกว่า 30 จุด
ระบบ SCADA เป็นระบบที่นิยมใช้งานเพื่อตรวจสอบสถานะและควบคุมการทำงานของระบบสาธารณูปโภคเช่น ไฟฟ้า, น้ำประปา, ท่อก๊าซ, ท่อน้ำมัน, ระบบบำบัดน้ำเสีย หรือกระทั่งโรงงานไฟฟ้านิวเคลียร์
