德国CERT @ VDE发布针对工业控制OPC UA漏洞的安全建议
开发工业系统的多家公司正在评估两个新的OPC UA漏洞对其产品的影响,德国CERT @ VDE发布了德国自动化技术公司Beckhoff的安全建议。本月初,美国网络安全和基础架构安全局(CISA)发布通报,描述了OTORIO的Eran Jacob发现的两个OPC UA漏洞。*注:OTORIO是以色列一家专门研究运营技术(OT)安全和数字风险管理解决方案的公司。OPC UA(统一体系结构)由OPC基金会开发,是一种机器对机器的通信协议,已广泛用于工业自动化和其他领域。Jacob是OTORIO的安全研究团队负责人,对OPC UA进行了分析,发现了几个漏洞,被定为严重等级。其中之一编号为CVE-2021-27432,并且已被描述为不受控制的递归漏洞,可以利用该漏洞来引发堆栈溢出。已发现此漏洞会影响OPC UA .NET Standard和Legacy。第二个漏洞是CVE-2021-27434,为一个敏感的信息泄露漏洞,会影响基于Unified Automation .NET的OPC UA客户端/服务器SDK。针对漏洞OPC基金会在三月份发布了一个补丁,与统一自动化软件的缺陷与使用易受攻击的.NET框架版本有关。根据CISA的说法,CVE-2021-27434与Microsoft在2015年修补的.NET漏洞(CVE-2015-6096)有关。CISA表示,统一自动化已通过更新解决了该问题。多家供应商正在评估漏洞对他们产品的潜在影响,目前为止,只有Beckhoff才发布了一份建议。Beckhoff的建议由德国的CERT @ VDE发布,建议指出未经身份验证的攻击者可以利用此漏洞创造拒绝服务(DoS)条件或通过发送特制的OPC UA数据包获取信息,该公司将信息披露问题描述为XML外部实体(XXE)漏洞。
Beckhoff指出,对于这两种攻击,攻击者在攻击OPC UA服务器时都需要使用特制的OPC UA客户端,而在攻击OPC UA客户端时则分别需要使用特制的OPC UA服务器。 为了攻击服务器,攻击者必须能够建立与该服务器的TCP连接。为了攻击客户端,攻击者需要能够使客户端连接到攻击者的服务器。只要攻击者在建立TCP连接后就让特制的应用程序(客户端或服务器)以一系列特制的网络数据包作为响应就足够了。如果可以通过互联网访问易受攻击的OPC UA服务器,或者易受攻击的客户端通过互联网访问由攻击者控制的服务器,则可以从互联网远程利用这些漏洞。从理论上讲,对OPC UA服务器执行DoS的攻击者可能会影响控制系统之间的连接,导致可见性丧失,甚至可能导致工控流程失去控制,从理论上讲,XXE漏洞可能允许从系统中泄漏敏感文件(例如,未受保护的私钥或配置文件),或者可以用来代表受攻击的服务器/客户端执行任意HTTP GET请求。工业控制系统安全:安全检查指南思维导图(内附下载链接)工业控制安全:工业控制系统风险评估实施指南思维导图网络安全等级保护:测评师能力要求思维导图最牛渗透测试工具开发公司Rapid7源代码遭到Codecov供应链攻击微软2021年5月份于周二补丁日针对55个漏洞发布安全补丁网络安全等级保护:怎能不了解测评过程指南(内附高清版思维导图下载链接)工业控制系统安全:工业控制系统安全控制应用指南思维导图工业控制系统安全:工业控制系统面临的安全风险思维导图(内附下载链接)工控系统未来方向与克服IT与OT融合障碍的五种方法员工:是企业信息安全的第一主体