O problema foi descoberto pelo especialista em segurança Rubén Santamarta que havia examinado o firmware do dispositivo e identificado as senhas da backdoor. Como funcionava? A porta para acesso telnet e depuração oferecia a capacidade de visualizar o firmware dos módulos, modificar a memória, gerar um DoS (Denial of Service) ou mesmo permitir a execução de código arbitrário. A porta FTP poderia permitir que atacantes modificassem o módulo do web site ou alterasse as senhas HTTP. Cerca de um mês depois, a Schneider Electric havia liberado um firmware com "um patch para a porção das vulnerabilidades relatadas".
Porém, parece que aquela atualização não era completa para sanar todas as falhas, já que a companhia disponibilizou agora - um ano depois dos fatos acima relatados - novas atualizações de firmware para remover os serviços de depuração e FTP do mesmo. De acordo com a própria Schneider Electric essas alterações não devem afetar a funcionalidade dos dispositivos, já que essas portas eram utilizadas apenas para resolução de problemas avançados e desenvolvimento. Os links para download do novo firmware estão no aviso do ICS-Cert. A companhia também complementa que criou um patch para adicionar a capacidade para que o serviço de FTP possa ser desabilitado do front end HTTP no dispositivo.
Saiba Mais:
- Heise Online: 2011 SCADA flaw finally fixed (em Inglês)