外媒 2 月 2 日消息，Istury IOT 的安全研究员在 3S-Smart Software Solutions 的 CODESYS WebVisu 产品的 Web 服务器组件中发现了一个基于堆栈的缓冲区溢出漏洞，允许用户在 web 浏览器中查看可编程逻辑控制器（ PLC ）的人机界面（ HMI ）。据研究人员介绍，攻击者可以通过远程触发该漏洞来引发拒绝服务( DoS )，并且某些情况下实现在 Web 服务器上执行任意代码。这一漏洞能够导致大量 ICS （“ 工业控制系统 ”） 产品受到影响，或对关键基础设施构成严重威胁。

WebVisu 产品目前在许多供应商（其中包括施耐德电气、日立、研华、伯格霍夫自动化、汉斯图尔克和新汉）的 116 个 PLC 和 HMI 中使用。

有关专家将该漏洞追踪为 CVE-2018-5440，并为其分配了高达 9.8 的 CVSS 分数。

...

据外媒 1 月 13 日报道，IOACTIVE 研究人员发出警告称有黑客组织日前正瞄准 SCADA-ICS 系统 ，旨在利用其移动应用程序缺乏安全的编码标准，达到攻击关键基础设施的目的。

SCADA-ICS （ Supervisory Control and Data Acquisition Industrial Control Systems ）--- 监督控制以及数据采集工业控制系统， 表示在关键基础设施上运行的工业自动化系统，负责清洁水、能源等关键服务的控制和运行。

近期，IOACTIVE 的研究人员发布了一份报告，分析了连接到物联网和移动应用程序的 SCADA-ICS 系统的安全影响。

...

据外媒报道，IBM X-Force 团队最近发布了《基于工业控制系统的安全攻击报告》，报告称自去年末开始，针对工业控制系统的攻击数量就不断增加。 IBM 安全管理服务（ MSS ）数据显示，截止到 2016 年 11 月 30 日，攻击数量相较于去年增长了 110 % 。攻击者大多使用暴力破解的方法猜测默认或者弱密码，以达到远程监视和控制 SCADA 设备。IBM 警告称，攻击者多使用 2016 年 1 月在 GitHub 上公布的 smod 渗透测试框架工具进行攻击。该工具可用于评估 Modbus 系列串行通信协议安全性，也可以被攻击者利用发动穷举式攻击。

...

据外媒报道，美国将在 10 月 24 - 27 日召开 2016 年工业控制系统（ ICS ） 网络安全会议。主办方 SecurityWeek 邀请到美国国家安全局局长（NSA）兼美国网络司令部指挥官 海军上将迈克尔·罗杰斯担任主讲人。这是一场以工业控制系统领域为重点的规模最大、持续时间最长的网络安全会议，领域涉及能源、公用事业、化工、交通、制造、军事。会议讨论主题将涵盖工业控制系统各方面，包括 SCADA 系统、工厂控制系统、工程工作站、变电设备、编程逻辑控制器（ PLC ）等现场控制系统设备的保护。

...