安全漏洞公司发视频称在各大公司SCADA工业系统发现9个漏洞

日前，国外著名安全漏洞公司ReVuln发布了一个视频[墙]，声称在各大公司SCADA工业系统中发现了9个0day漏洞，包括通用电气、罗克韦尔自动化、施耐德电气和西门子等公司，但是，在视频中没有发布具体受影响的产品，同时ReVuln也声明拒绝透露受影响的软件产品名称。据ReVuln公司表示，该漏洞允许远程执行任意代码，远程shell访问以及会话劫持，攻击者可以完全控制这些工控系统。目前暴露在互联网上的工控系统非常多，之前国外黑客曾利用google搜索到英国的电力变电站的变压器，成功控制该变压器可能会导致局部停电。但是ReVuln公司也明确表示，该漏洞不会提交给相应的厂商修复，他们只会提供给其服务的企业和政府，目前国外这种商业模式也引起的一定的争议，被描述为“佣兵组织”。
SCADA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统。SCADA系统是以计算机为基础的DCS与电力自动化监控系统；它应用领域很广，可以应用于电力、冶金、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域。典型的如Stuxnet恶意软件，在感染了伊朗纳坦兹核燃料浓缩厂的PLC后，篡改了所编程序，破坏了大约1000只铀浓缩离心机。据说这起攻击事件被认为致使伊朗的核计划倒退两年之久。注：ReVuln公司是国外一家专业从事软件和硬件的安全评估，包括进攻和防御的安全公司。该公司的Luigi Auriemma大神发现了2000多个软件中的安全漏洞，包括通用电气、西门子、ABB、Rockwell、CoDeSys等等，知名的如微软的MS12-020、MS11-035等，还有其他未公布的漏洞，包括三星电视、多人游戏引擎等。他是目前Zero Day Initiative（zdi，你懂的）漏洞最多贡献者之一。