Tools

Siemens EspañaSiemens España

Site ExplorerSite Explorer
Close site explorer

WinCC / PCS 7: Información referente al Malware / Virus / Troyano


Madrid, 22.07.2010

Ya existe una herramienta (software tool) descargable para detectar el virus y eliminarlo.

Acceso a la herramienta y explicaciones sobre su uso:
http://support.automation.siemens.com/WW/view/en/43876783

En cualquier caso, le recomendamos que contacte con nuestro customer support en España (902-237 238)

Atentamente,
Su partner HMI

  • Hemos detectado la aparición de un malware relacionado con la base de datos de sistema de SIMATIC WinCC y SIMATIC PCS 7.

  • En España no ha afectado a ninguna empresa y solamente se ha detectado en una empresa en Alemania.

  • Existen ya en el mercado 3 antivirus que detectan el mencionado troyano, concretamente las últimas versiones de: Trend Micro, McAfee y Symantec. Aunque no se esperan problemas de compatibilidad, se están comprobando los mencionados antivirus con cada una de las versiones de WinCC y PCS 7 existentes en la industria.

  • Hasta que no se instale alguno de los mencionados antivirus, Siemens recomienda a sus clientes no conectar dispositivos USB's pues el virus sólo se propaga por esa vía.

  • Por otro lado, Siemens está trabajando junto con Microsoft para encontrar una solución a nivel de sistema operativo.


A continuación, procedemos a contestar a las preguntas más frecuentes:

Preguntas

Respuestas

Preguntas básicas generals

¿Qué es el troyano/virus y qué puede hacer?

Se trata de un software que se expande a través de dispositivos USB y que utilizan para ello una vulnerabilidad de Microsoft Windows. Los sistemas operativos afectados son del Windows XP en adelante. Este Software/Malware detecta, por una parte, los programas WinCC y PCS7 de Siemens e intenta contactar y comunicar con ciertas páginas y servidores web. Siemens ha podido comprobar que estas conexiones no se llegan a crear debido a que los servidores de destino no están activos/disponibles.

¿Qué sistemas están afectados o pueden estar afectados?

Según las informaciones actuales solamente están afectados los sistemas que tienen acceso a datos o al sistema operativo a través de la interfaz USB.Normalmente todo operador de sistema se asegura, como parte de su concepto de seguridad, que un acceso a su sistema por USB no sea posible. Adicionalmente, los sistemas de protección como pueden ser firewall o antivirus pueden evitar que los Virus/Troyanos puedan infiltrarse en el sistema.

¿Ha causado algún daño el virus hasta ahora?

Sólo es conocido un caso de infección en Alemania. Se está investigando si el virus ha podido causar algún daño.

¿Cuál es el origen del virus?

De momento, no se tiene información al respect.

¿Cómo ayuda Siemens a los clientes afectados?

-Microsoft va a ofrecer una actualización (patch) que va a solucionar el agujero de seguridad de la interfaz USB.
-Los proveedores de antivirus han preparado firmas de virus actualizadas que estarán aprobadas por Siemens como muy tarde para el jueves. Con esto los antivirus serán capaces de detectar y eliminar el virus.
-Siemens va a suministrar esta semana una herramienta para detectar si un sistema ha sido infectado por el virus. Esta herramienta se distribuirá a través del Siemens Advisory: http://support.automation.siemens.com/WW/view/es/43876783
-Siemens suministrará un Simatic Security Update con todas las funciones necesarias.

¿Qué se recomienda a los clientes como medida preventiva ahora mismo?

No utilizar lápices USB e instalar los updates tan pronto como estén disponibles.

¿Cuándo habrá un aviso oficial de Siemens?

El aviso oficial de Siemens está ya disponible: http://support.automation.siemens.com/WW/view/es/43876783 y se actualizará constantemente con nuevas informaciones.

Preguntas especiales

¿Qué mecanismos de autentificación utiliza WinCC?

El usuario y password para WinCC se puede definir libremente y no tiene nada que ver con el acceso a la base de datos. El sistema de autentificación interna de WinCC a la base de datos Microsoft SQL Server está basado en datos de acceso predefinidos. Estos datos no son visibles para el cliente y son utilizados como un mecanismo interno de sistema para comunicar entre los componentes de sistema de WinCC y la base de datos.Cambiar estos datos impediría la comunicación entre WinCC y la base de datos y por tanto, no es recomendable. Se está valorando reforzar esta autentificación. En nuestros manuales de seguridad “Concepto de Seguridad para PCS7 y WinCC”, que describen nuestras recomendaciones a nuestros clientes, indicamos claramente cómo mejorar la seguridad de estos sistemas.
Un ejemplo es el de cómo desactivar/desinstalar todos los servicios que no son requeridos por nuestra aplicación:
http://support.automation.siemens.com/WW/view/en/38616083/133300
Whitepaper:“Security Concept PCS 7” y “WinCC Basic Document”, Sección 6.3. Con esta información el cliente puede crear un entorno seguro por medio de antivirus, firewalls y otras medidas recomentadas por nosotros.

¿Es conocido quién a creado el Malware y desde cuándo está en active?

No. Esta información es desconocida actualmente.

¿Ha habido intentos como este en el pasado que hayan intentado crear Maleware que afecte a nuestros sistemas e infecte a nuestros clients?

Según nuestras informaciones esta es la primera vez que un troyano intenta afectar a un sistema SCADA de Siemens.