你能覺得，重要基礎(chǔ)設(shè)施建設(shè)的經(jīng)銷商至少會佯稱自身關(guān)心安全性。

不知：誰不清楚“別應(yīng)用硬編碼的登陸密碼”這條網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)？來看有些人必須用一根針，將這一條標(biāo)準(zhǔn)鐫刻在施耐德電氣企業(yè)（SchneiderElectric）的開發(fā)者看得清的地區(qū)，以防她們忘記了。

是的，這一幕又出現(xiàn)了，但是這次的主人公是這個的監(jiān)管和數(shù)據(jù)收集（SCADA）經(jīng)銷商的德力西ModiconTM221CE16R固定件1.3.3.3；如果沒有新固定件，客戶就毫無知覺，由于她們沒法修改密碼。

這簡直很尤其的星期五中午：有些人應(yīng)用固定不動密匙“SoMachineBasicSoMachineBasicSoMa”數(shù)據(jù)加密了客戶/登陸密碼XML文檔。

那么就代表著網(wǎng)絡(luò)攻擊能夠開啟控制自然環(huán)境（SoMachineBasic1.4s店P(guān)1），獲得并破譯客戶文檔，從而接到系統(tǒng)軟件的控制權(quán)。

如同法國OpenSourceSecurity的西蒙·赫明（SimonHeming）、梅克·布魯格曼（MaikBrüggemann）、亨得里克·斯瓦特克（HendrikSchwartke）和拉爾夫·斯彭內(nèi)伯格（RalfSpenneberg）這幾個發(fā)現(xiàn)人尤其強調(diào)，她們往往公布了這一份系統(tǒng)漏洞公示，是因為她們聯(lián)絡(luò)后，施耐德電氣壓根視而不見。

一樣這群科學(xué)研究工作人員公布了另一份系統(tǒng)漏洞公示，再度來源于施耐德電氣，再度TM221CE16R固定件1.3.3.3硬件配置：不用認(rèn)證真實身份，就能遠(yuǎn)程控制獲得維護(hù)其應(yīng)用軟件的登陸密碼。

客戶只必須應(yīng)用TCP端口502，對于Modbus推送下邊這一指令：

echo-n-e'\x00\x01\x00\x00\x00\x05\x01\x5a\x00\x03\x00'|ncIP502

她們寫到：“以后，獲得的指令就可以鍵入到SoMachineBasic中，從而免費下載、改動和接著再度提交一切所必須的應(yīng)用軟件。”

美國工業(yè)控制系統(tǒng)軟件互聯(lián)網(wǎng)應(yīng)急處置工作組（ICS-CERT）將德力西Modicon模塊納入“關(guān)鍵的生產(chǎn)制造、食品類、農(nóng)牧業(yè)、供電和污水系統(tǒng)軟件”重要基礎(chǔ)設(shè)施建設(shè)領(lǐng)域的范圍――美國IT網(wǎng)址TheRegister覺得，這種領(lǐng)域針對將登陸密碼放到固定件里面做法大全應(yīng)當(dāng)更謹(jǐn)慎些。

終究，這不是施耐德電氣頭一回在登陸密碼層面出糗了。去年初，施耐德電氣的Struxureware房屋智能管理系統(tǒng)在基礎(chǔ)的密碼安全體制層面沒有保證位，結(jié)果讓網(wǎng)絡(luò)攻擊得到繞開樓宇智能化控制系統(tǒng)軟件。