2016年3月22日，美国ICS-CERT官网（The Industrial Control Systems Cyber Emergency Response Team ，以下简称ICS-CERT）公示了中国电科网络信息安全有限公司（以下简称：中国网安）工业控制安全事业部漏洞挖掘团队发现的“Siemens APOGEE Insight Database Conversion Tool DLL劫持漏洞”。

事件始末

2015年，中国网安工业控制安全事业部在对西门子PLC及监控软件APOGEE Insight的技术解析中，通过对该软件一系列的分析、测试，发现了劫持漏洞并上报至国家计算机网络应急技术处理协调中心下属国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）；CNVD经过三级审核后，报予西门子德国研发部门加以确认，最终西门子技术重现并确认了该问题。CNVD经过漏洞最终审核程序确认该漏洞为“原创漏洞”，于2015年12月25日在CNVD官网工控漏洞版面对其予以公示，并向中国网安颁发“原创漏洞证明”证书。该漏洞正式被CVE收录，编号：CVE-2016-3155。

2016年3月18日，西门子官方对该漏洞予以公示，给出了相应的缓解方案，并对中国网安发现该漏洞助力西门子产品改进信息安全问题表示感谢。

中国网安工业控制安全事业部建有多个关键基础设施行业工业控制系统仿真环境、拥有十多年的工业信息安全漏洞挖掘经验及技术实力。