T0857 System Firmware

韌體做為跟硬體的互動的橋樑，若設備中的可能有韌體安全的問題，設備廠商可能透過線上更新，但有些無法支援更新的設備，可能就有重大漏洞的危害。

針對線上更新，廠商會請使用者去官網下載新版韌體，並透過設備內部更新韌體的功能，上傳韌體，或是在設備內有自動更新的功能。

攻擊者會嘗試修改韌體的內容，並上傳惡意的韌體，並取得設備的權限。

T0839 Module Firmware

攻擊者針對模組化的韌體，所謂模組化的韌體指的是設備內部的功能，主韌體跟功能韌體是分開維護的。

攻擊者可能會針對 Ethernet Card 進行攻擊

• Delayed Attack - 攻擊者可能會有特定期間的攻擊，提前攻擊或選擇時間點攻擊。
• Brick the Ethernet Card - 惡意的韌體會造成 Ethernet Card 損毀，導致無法使用並退回原廠。
• "Random" Attack or Failure - 攻擊者可能會將惡意韌體放入設備中，以隨機的方式執行攻擊。
• A Field Device Worm - 蠕蟲的特性是傳播感染病毒，而攻擊者可能會針對工廠內其中一個設備進行攻擊，並且植入蠕蟲感染到全系統內。
• Attack Other Cards on the Field Device - 攻擊其他 card 有機會影響到 Ethernet Card

T0889 Modify Program

攻擊者針對工控場域中的控制器與程式組織單元 （POU）進行攻擊，感染 PLC 或撰寫其他惡意的程式碼，可能是新增惡意功能、修改控制器原本的程式碼等方法。