台积电被病毒感染竟然是因为没有修复永恒之蓝漏洞
知名晶圆厂台积电此前遭遇病毒感染并导致多个条产线停机维护,目前该公司已经对外透露这次攻击的细节。
首先这次感染台积电的病毒是去年影响极大的WannaCry勒索软件的变种并且使用永恒之蓝漏洞进行感染的。
其次正如上文所提这次病毒使用永恒之蓝漏洞感染意味着台积电产线的自动化材料搬运系统至今未修复漏洞。
最后台积电的这则案例也告诉我们尤其是企业和工控类的设备必须及时安装补丁修复漏洞否则后果不堪设想。
台积电的内外网隔离措施:
基于安全考虑台积电的内部网络架构已经实行网络隔离措施,也就是办公网络与工控网络本身是进行隔离的。
而工控网络并没有连接外网所以无法直接被病毒进行感染,因此此前有安全专家猜测是USB外接设备传播的。
然而台积电多个厂区同时遭到感染显然不可能是USB外接设备同时造成的,除非是有人故意向设备植入病毒。
不过台积电自己倒是透露基于管理效率考虑各厂区系统是互通的,因此USB外接设备其实可以达到同时感染。
WannaCry与永恒之蓝漏洞:
台积电称本次病毒感染事件主要由WannaCry变种和永恒之蓝漏洞引起,该勒索软件通过蠕虫进行快速传播。
前文我们提到台积电各个厂区的工控设备本身是互通的,因此其某台设备被感染后迅速传播到内网其他设备。
永恒之蓝漏洞是去年上半年爆发的最严重的安全危机,由影子经纪人泄露后并被WannaCry极其广泛的利用。
台积电至今未修复漏洞:
永恒之蓝系列漏洞由于影响极其广泛因此微软早已对其修复,然而台积电内网多数工控设备至今未修复漏洞。
台积电称对于安全补丁需要经过谨慎的评估之后才能进行安装,因此台积电在补丁发布一年后仍然没有安装。
对于多数工业企业来说都抱着多一事不如少一事的态度,在没有出现问题的情况下基本会放任被暴露的漏洞。
因此在WannaCry侵袭其内网后立即感染所有未修复漏洞的设备,最终导致工控系统宕机或者自动重启等等。
那么到底病毒是怎么感染的呢?
按理说台积电已经进行内外网隔离因此病毒不可能从外部网络入侵,最终的途径自然是直接在内网里流窜的。
所以此前安全专家称可能是USB外接设备感染也是有可能的,不过这次台积电比起被外接设备感染更加糟糕。
台积电官方称这次攻击的起源在于某个新上线的机器已经被感染,原本流程是机器必须经过安全检查才上线。
但是这次未经网络隔离和防毒系统处理违反上线流程,在人为疏忽的情况下带毒机器被直接连接台积电内网。
然后台积电各个厂区的内网所有未修复永恒之蓝漏洞的设备都被感染停机,这就是这次安全事故的来龙去脉。