自動化軟件漏洞百出 偵察技術助工業轉型

**[新科技速遞] [TRENDMICRO] [趨勢科技]**

趨勢科技研究機構 Trend Micro Research 與工業機械人作業系統協會（ROS-Industrial Consortium），共同提出建議降低漏洞遭黑客攻擊機會。

**新科技速遞**

趨勢科技發表研究報告，指出老舊程式語言的設計缺陷，同時也提出一些程式設計安全原則來協助工業 4.0 開發人員大幅減少軟件的受攻擊面，希望藉此降低營運技術 (OT) 環境中斷營運的情況。

報告由趨勢科技與米蘭理工大學 (Politecnico di Milano) 合作，探討老舊程式語言的設計缺陷如何造成自動化程式的漏洞。這些資訊保安缺陷可讓黑客挾持工業機械人與自動化設備，造成生產線中斷或知識產權被竊。

研究指出，工業自動化領域仍未知該如何偵測及防範上述漏洞攻擊，業界有必要開始建立和實施一些網絡資訊保安與程式設計安全實務原則。

趨勢科技基礎架構策略副總裁 Bill Malik 指出：「OT 系統一旦連上網絡，幾乎就無法再套用修補更新，一開始程式設計就無比重要。工業自動化軟件骨幹依賴老舊技術運作，卻經常暗藏潛在漏洞（如 Urgent/11 與 Ripple20），或千年蟲（Y2K）架構缺陷。我們希望提供明確指導原則及掃描工具，攔截惡意與含有漏洞程式碼。」 

一些老舊專屬系統程式語言如 RAPID、KRL、AS、PDL2 及 PacScript，設計時未想到黑客可能採用攻擊方式。上述系統經幾十年前演化，如今成為工廠自動化關鍵設施。

漏洞無法輕易修補，上述專屬語言撰寫的自動化程式，不僅存在漏洞，研究人亦證明，某些語言更可能被用來製作新型自我複製惡意程式。 

趨勢科技研究機構 Trend Micro Research 與工業機械人作業系統協會（ROS-Industrial Consortium），共同提出建議降低漏洞遭黑客攻擊機會。

歐洲工業機械人作業系統協會（ROS-Industrial Consortium Europe）產品經理 Christoph Hellmann Santos 表示：「大多數的工業機械人都是為隔離的生產線網絡而設計，並且採用老舊的程式語言。所以，它們一旦連上企業資訊網絡，就很可能遭到黑客攻擊。為此，ROS-Industrial 與趨勢科技合作，針對採用 ROS 來控制工業機械人的環境，提出一些如何正確安全地架設網絡的指導原則。」

研究在8種最普遍工業機械人程式設計平台上，發現涉及敏感安全性功能，以及40個開放原始碼漏洞。一家廠商已將含有漏洞的自動化程式，從工業應用商店下架，另外兩個漏洞也獲廠商確認，帶來了良性互動。漏洞相關細節也經 ICS-CERT的群組分享。

Trend Micro Research 與米蘭理工大學共同開發一套正申請專利工具，偵測工作程式中的漏洞或惡意程式碼，防範執行時出現問題。

研究在正舉行Black Hat大會以及 10 月台北ACM AsiaCCS研討會上發表。