Selvom en hurtigtspredende orm kan give kriminelle adgang til Siemens kontrol- og proces-system Simatic WinCC, så anbefaler Siemens sine kunder at undlade at skifte password på Simatic WinCC.
Skift af password kan lægge system ned
"Vi vil frigive vejledning til vores kunder om kort tid, men det vil ikke inkludere råd om at ændre deafult-indstillinger, da det vil kunne påvirke produktionssystemet," oplyste Siemens talsmanden Michael Krampe i en e-mail til IDG News Service mandag.
Virussen, der af Symantec betegnes som W32.Stuxnet, prøver at logge på Simatic WinCC-systemets database med et default password, så anbefalingen om ikke at skifte password kan forekomme mærkværdig. Imidlertid kan skift af password give problemer i Simatic WinCC-systemet og dermed forårsage driftsforstyrrelser i en fabriks produktionslinie eller en forsyningsvirksomheds produktion.
På Siemens website kan man finde følgende forklaring:
"User login og password for WinCC kan frit defineres og har intet med adgang til den interne database (Som W32.Stuxnet går efter, red). Den interne system authentication fra WinCC til Microsoft SQL database er baseret på prædefinerede adgangsdata. Disse data er ikke synlige for kunden og bruges som en intern system-mekanisme til at kommunikere mellem WinCC systemkomponenterne og databasen. Ændring af adgangsdata vil hindre kommunikation mellem WinCC og databasen, så det anbefales derfor ikke."
Siemens WinCC anvendes til at kontrollere og styre store industri-maskiner der anvendes verden over til at fremstille produkter, mad, kemikalier og styre kraft-, vand-, og varmeværker.
Hurtigtspredende orm
Siemens er i fuld gang med at finde ud af, hvordan virksomheden skal forholde sig til Stuxnet-ormen, der først blev fundet i forrige uge, deriblandt i Danmark
Symantec registrerer nu omkring 9,000 forsøg på infektioner per dag, oplyser Gerry Egan, direktør hos Symantec Security Response.
Ormen spredes via USB sticks, CD'er eller netværksdrev, og udnytter en upatched sårbarhed i Windows.
Hvis ormen ikke finder Simatic WinCC-softwaren på den inficerede computer, forsøger den blot at kopiere sig videre.
Symantec har oprettet en FAQ angående w32.Stuxnet, ligesom Microsoft har oprettet security advisory.
Senest har det amerikanske ICS-CERT (Industrial Control Systems - Cyber Emergency Response Team) udsendt en advarsel mod malwaren.
Ifølge ICS-CERT går ormen kke kun efter Siemens Simatic WinCC, der anvendes til at overvåge automatiserede processer. Også Siemens Simatic Step 7, der anvendes til programmering og konfiguration af proces- og kontroludstyr er mål for ormen.
Ingen patch til Windows XP SP2
Ifølge Symantecs indsamlede data udgør maskiner med Windows XP SP2 tæt på halvdelen af de inficerede maskiner, 48 procent. Microsofts support af Windows XP SP2 er ophørt, så der kommer formentlig ingen patch til den. Det kan være et problem, da forsyningsvirksomheder og produktionsvirksomheder ofte har installeret SCADA-systemer på gamle Windows-versioner.
Ifølge Siemens' website kan WinCC-klienter køre på Windows XP SP2.
