【AET原创】从八次典型工控安全事件看工控系统面临的安全威胁
近年来,随着工业控制系统网络和物联网环境变得更加开放与多变,工业控制系统则相对变得更加脆弱,工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。工业控制系统的安全性面临巨大的挑战。仅仅2018年,就爆发了多次工控安全事件。我们仅以其中比较有代表性的八次典型工控安全事件为例,以此正视工业控制系统所面临的安全威胁。
1、罗克韦尔工控设备曝多项严重漏洞
2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400系列PLC中存在多项严重安全漏洞,这些漏洞可用来发起拒绝服务攻击、篡改设备的配置和梯形逻辑、写入或删除内存模块上的数据等。该系列可编程逻辑控制器被各关键基础设施部门广泛运用于工业控制系统的执行过程控制,一旦被利用将会导致严重的损害。思科Talos团队建议使用受影响设备的组织机构将固件升级到最新版本,并尽量避免将控制系统设备以及相关系统直接暴露在互联网中。
2、俄黑客对美国核电站和供水设施攻击事件
2018年3月,美国计算机应急准备小组发布了一则安全通告TA18-074A,详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。通告称俄黑客组织通过(1)收集目标相关的互联网信息和使用的开源系统的源代码;(2)盗用合法账号发送鱼叉式钓鱼电子邮件;(3)在受信任网站插入Java或PHP代码进行水坑攻击;(4)利用钓鱼邮件和水坑攻击收集用户登录凭证信息;(5)构建基于操作系统和工业控制系统的攻击代码发起攻击。本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户帐户的信息。此安全事件告诫我们:加强员工安全意识教育和管理是十分必要的,如密码定期更换且不复用,安装防病毒软件并确保及时更新等。
3、俄罗斯黑客入侵美国电网
2018年7月,一位美国国土安全部官员称:“我们跟踪到一个行踪隐秘的俄罗斯黑客,该人有可能为政府资助组织工作。他先是侵入了主要供应商的网络,并利用前者与电力公司建立的信任关系轻松侵入到电力公司的安全网络系统。”
11月30日,火眼的分析员Alex Orleans指出“目前仍然有瞄准美国电网的俄罗斯网络间谍活动,电网仍然会遭受到不断的攻击”,火眼(FireEye)已经识别出一组俄罗斯网络集团通过TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞进行试探和攻击。这组黑客依赖于现成黑客工具和自制后门技术的组合,尽管美国的电网已经通过NERC发布的一系列CIP 标准增强了网络防御能力。但是并不是每一处的电网组成设施都固若金汤,比如部分承包给本地企业的地方电网的网络防御能力就非常差,这留给了来自俄罗斯(包括伊朗和朝鲜)的网络黑客们可乘之机。
与中国情况不同,美国的电网是由很多独立的企业管控,在安全性、可控性方面比较弱。入侵者攻击该系统不受保护的弱点,而数以百计的承包商和分包商毫无防备。所以连美国官方都无法统计有多少企业和供应商被攻击并蒙受损失。
4、台积电遭勒索病毒入侵,致三个生产基地停摆
8月3日晚间,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部的部分生产设备受到魔窟勒索病毒WannaCry勒索病毒的一个变种感染,具体现象是电脑蓝屏,锁各类文档、数据库,设备宕机或重复开机。几个小时之内,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续被感染,这代表台积电在台湾北、中、南三处重要生产基地,同步因为病毒入侵而导致生产线停摆。经过应急处置,截止8月5日下午2点,该公司约80%受影响设备恢复正常,至8月6日下午,生产线已经全部恢复生产。损失高达26亿。
此次事件原因是员工在安装新设备的过程时,没有事先做好隔离和离线安全检查工作,导致新设备连接到公司内部网络后,病毒快速传播,并最终影响整个生产线。
5、西门子PLC、SCADA等工控系统曝两个高危漏洞
8月7日,西门子发布官方公告称,其用于SIMATIC STEP7和SIMATIC WinCC产品的TIA Portal(Totally Integrated Automation Portal全集成自动化门户)软件存在两个高危漏洞(CVE-2018-11453和CVE-2018-11454)。影响范围包括两款产品V10、V11、V12、V13的所有版本,以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西门子的一款可让企业不受限制地访问公司自动化服务的软件。由于TIA Portal广泛适用于西门子PLC(如S7-1200、S7-300/400、S7-1500等)、SCADA等工控系统,以上两个漏洞将对基于西门子产品的工业控制系统环境造成重大风险。据国家工业信息安全发展研究中心监测发现,我国可能受到该漏洞影响的联网西门子STEP 7、Wincc产品达138个。
本次发现的两个高危漏洞中,CVE-2018-11453可让攻击者在得到访问本地文件系统的权限后,通过插入特制文件实现对TIA Portal的拒绝服务攻击或执行任意代码;CVE-2018-11454可让攻击者利用特定TIA Portal目录中的错误文件权限配置,操纵目录内的资源(如添加恶意负载等),并在该资源被合法用户发送到目标设备后实现远程控制。
6、Rockwell和ICS-CERT发布通报
2018年9月,Rockwell(罗克韦尔自动化有限公司)和ICS-CERT发布通报称, Rockwell的RSLinx Classic软件存在三个高危漏洞(CVE-2018-14829、CVE-2018-14821和CVE-2018-14827),影响范围包括RSLinx Classic 4.00.01及之前版本,一旦被成功利用可能实现任意代码执行甚至导致设备系统崩溃。
RSLinx Classic是一款Rockwell开发的专用工业软件,用于实现对Rockwell相关设备、网络产品的统一配置管理,具有数据采集、控制器编程、人机交互等功能,广泛应用于能源、制造、污水处理等领域。
这三个高危漏洞的利用方式都是通过44818端口进行远程攻击或破坏,其中CVE-2018-14829为基于栈的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,实现在主机上的任意代码执行、读取敏感信息或导致系统崩溃等;CVE-2018-14821为基于堆的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,导致应用程序终止运行;CVE-2018-14827为资源耗尽漏洞,攻击者可以通过发送特制的Ethernet/IP数据包,导致应用程序崩溃。
7、意大利石油与天然气开采公司Saipem遭受网络攻击
12月10日,意大利石油与天然气开采公司Saipem遭受网络攻击,主要影响了其在中东的服务器,包括沙特阿拉伯、阿拉伯联合酋长国和科威特,造成公司10%的主机数据被破坏。Saipem发布公告证实此次网络攻击的罪魁祸首是Shamoon恶意软件的变种。
公告显示,Shamoon恶意软件袭击了该公司在中东,印度等地的服务器,导致数据和基础设施受损,公司通过备份缓慢的恢复数据,没有造成数据丢失,此次攻击来自印度金奈,但攻击者的身份尚不明确。
Shamoon主要“功能”为擦除主机数据,并向受害者展示一条消息,通常与政治有关,另外Shamoon还包括一个功能完备的勒索软件模块擦拭功能。攻击者获取被感染计算机网络的管理员凭证后,利用管理凭证在组织内广泛传播擦除器。然后在预定的日期激活磁盘擦除器,擦除主机数据。
8、施耐德联合ICS-CERT发布高危漏洞
2018年12月,施耐德电气有限公司(Schneider Electric SA)和CNCERT下属的工业互联网安全应急响应中心ICS-CERT发布通报称,Modicon M221全系PLC存在数据真实性验证不足高危漏洞(CVE-2018-7798),一旦被成功利用可远程更改PLC的IPv4配置致使通信异常。
Modicon M221全系PLC是施耐德电气有限公司所设计的可编程逻辑控制器,可通过以太网和Modbus协议进行网络通讯。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS协议的网络配置模块实现不合理,未对数据真实性进行充分验证,导致攻击者可远程更改IPv4配置参数,例如IP地址、子网掩码和网关等,从而拦截目标PLC的网络流量。
纵观整个2018年,各类威胁数据持续上升。但是幸运的是,政产学研各界已经纷纷意识到工控系统网络安全的重要性,并采取措施加强预警,争取防患于未然。工业互联网在国内的推进无论从国家政策层面还是企业实际落地层面都得到了积极的重视,而对工业互联网的信息安全保障也是一样的,伴随着国家“互联网+制造业”等政策的不断推进落实,工业互联网的推进速度必将不断加快,工控安全行业任重而道远。