【AET原创】从八次典型工控安全事件看工控系统面临的安全威胁

  近年来,随着工业控制系统网络和物联网环境变得更加开放与多变,工业控制系统则相对变得更加脆弱,工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。工业控制系统的安全性面临巨大的挑战。仅仅2018年,就爆发了多次工控安全事件。我们仅以其中比较有代表性的八次典型工控安全事件为例,以此正视工业控制系统所面临的安全威胁。

1、罗克韦尔工控设备曝多项严重漏洞

  2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400系列PLC中存在多项严重安全漏洞,这些漏洞可用来发起拒绝服务攻击、篡改设备的配置和梯形逻辑、写入或删除内存模块上的数据等。该系列可编程逻辑控制器被各关键基础设施部门广泛运用于工业控制系统的执行过程控制,一旦被利用将会导致严重的损害。思科Talos团队建议使用受影响设备的组织机构将固件升级到最新版本,并尽量避免将控制系统设备以及相关系统直接暴露在互联网中。

2、俄黑客对美国核电站和供水设施攻击事件

  2018年3月,美国计算机应急准备小组发布了一则安全通告TA18-074A,详细描述了俄罗斯黑客针对美国某发电厂的网络攻击事件。通告称俄黑客组织通过(1)收集目标相关的互联网信息和使用的开源系统的源代码;(2)盗用合法账号发送鱼叉式钓鱼电子邮件;(3)在受信任网站插入Java或PHP代码进行水坑攻击;(4)利用钓鱼邮件和水坑攻击收集用户登录凭证信息;(5)构建基于操作系统和工业控制系统的攻击代码发起攻击。本次攻击的主要目的是以收集情报为主,攻击者植入了收集信息的程序,该程序捕获屏幕截图,记录有关计算机的详细信息,并在该计算机上保存有关用户帐户的信息。此安全事件告诫我们:加强员工安全意识教育和管理是十分必要的,如密码定期更换且不复用,安装防病毒软件并确保及时更新等。

3、俄罗斯黑客入侵美国电网

  2018年7月,一位美国国土安全部官员称:“我们跟踪到一个行踪隐秘的俄罗斯黑客,该人有可能为政府资助组织工作。他先是侵入了主要供应商的网络,并利用前者与电力公司建立的信任关系轻松侵入到电力公司的安全网络系统。”

  11月30日,火眼的分析员Alex Orleans指出“目前仍然有瞄准美国电网的俄罗斯网络间谍活动,电网仍然会遭受到不断的攻击”,火眼(FireEye)已经识别出一组俄罗斯网络集团通过TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞进行试探和攻击。这组黑客依赖于现成黑客工具和自制后门技术的组合,尽管美国的电网已经通过NERC发布的一系列CIP 标准增强了网络防御能力。但是并不是每一处的电网组成设施都固若金汤,比如部分承包给本地企业的地方电网的网络防御能力就非常差,这留给了来自俄罗斯(包括伊朗和朝鲜)的网络黑客们可乘之机。

  与中国情况不同,美国的电网是由很多独立的企业管控,在安全性、可控性方面比较弱。入侵者攻击该系统不受保护的弱点,而数以百计的承包商和分包商毫无防备。所以连美国官方都无法统计有多少企业和供应商被攻击并蒙受损失。

4、台积电遭勒索病毒入侵,致三个生产基地停摆

  8月3日晚间,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部的部分生产设备受到魔窟勒索病毒WannaCry勒索病毒的一个变种感染,具体现象是电脑蓝屏,锁各类文档、数据库,设备宕机或重复开机。几个小时之内,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续被感染,这代表台积电在台湾北、中、南三处重要生产基地,同步因为病毒入侵而导致生产线停摆。经过应急处置,截止8月5日下午2点,该公司约80%受影响设备恢复正常,至8月6日下午,生产线已经全部恢复生产。损失高达26亿。

  此次事件原因是员工在安装新设备的过程时,没有事先做好隔离和离线安全检查工作,导致新设备连接到公司内部网络后,病毒快速传播,并最终影响整个生产线。

5、西门子PLC、SCADA等工控系统曝两个高危漏洞

  8月7日,西门子发布官方公告称,其用于SIMATIC STEP7和SIMATIC WinCC产品的TIA Portal(Totally Integrated Automation Portal全集成自动化门户)软件存在两个高危漏洞(CVE-2018-11453和CVE-2018-11454)。影响范围包括两款产品V10、V11、V12、V13的所有版本,以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西门子的一款可让企业不受限制地访问公司自动化服务的软件。由于TIA Portal广泛适用于西门子PLC(如S7-1200、S7-300/400、S7-1500等)、SCADA等工控系统,以上两个漏洞将对基于西门子产品的工业控制系统环境造成重大风险。据国家工业信息安全发展研究中心监测发现,我国可能受到该漏洞影响的联网西门子STEP 7、Wincc产品达138个。

  本次发现的两个高危漏洞中,CVE-2018-11453可让攻击者在得到访问本地文件系统的权限后,通过插入特制文件实现对TIA Portal的拒绝服务攻击或执行任意代码;CVE-2018-11454可让攻击者利用特定TIA Portal目录中的错误文件权限配置,操纵目录内的资源(如添加恶意负载等),并在该资源被合法用户发送到目标设备后实现远程控制。

6、Rockwell和ICS-CERT发布通报

  2018年9月,Rockwell(罗克韦尔自动化有限公司)和ICS-CERT发布通报称, Rockwell的RSLinx Classic软件存在三个高危漏洞(CVE-2018-14829、CVE-2018-14821和CVE-2018-14827),影响范围包括RSLinx Classic 4.00.01及之前版本,一旦被成功利用可能实现任意代码执行甚至导致设备系统崩溃。

  RSLinx Classic是一款Rockwell开发的专用工业软件,用于实现对Rockwell相关设备、网络产品的统一配置管理,具有数据采集、控制器编程、人机交互等功能,广泛应用于能源、制造、污水处理等领域。

  这三个高危漏洞的利用方式都是通过44818端口进行远程攻击或破坏,其中CVE-2018-14829为基于栈的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,实现在主机上的任意代码执行、读取敏感信息或导致系统崩溃等;CVE-2018-14821为基于堆的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,导致应用程序终止运行;CVE-2018-14827为资源耗尽漏洞,攻击者可以通过发送特制的Ethernet/IP数据包,导致应用程序崩溃。

7、意大利石油与天然气开采公司Saipem遭受网络攻击

  12月10日,意大利石油与天然气开采公司Saipem遭受网络攻击,主要影响了其在中东的服务器,包括沙特阿拉伯、阿拉伯联合酋长国和科威特,造成公司10%的主机数据被破坏。Saipem发布公告证实此次网络攻击的罪魁祸首是Shamoon恶意软件的变种。

  公告显示,Shamoon恶意软件袭击了该公司在中东,印度等地的服务器,导致数据和基础设施受损,公司通过备份缓慢的恢复数据,没有造成数据丢失,此次攻击来自印度金奈,但攻击者的身份尚不明确。

  Shamoon主要“功能”为擦除主机数据,并向受害者展示一条消息,通常与政治有关,另外Shamoon还包括一个功能完备的勒索软件模块擦拭功能。攻击者获取被感染计算机网络的管理员凭证后,利用管理凭证在组织内广泛传播擦除器。然后在预定的日期激活磁盘擦除器,擦除主机数据。

8、施耐德联合ICS-CERT发布高危漏洞

  2018年12月,施耐德电气有限公司(Schneider Electric SA)和CNCERT下属的工业互联网安全应急响应中心ICS-CERT发布通报称,Modicon M221全系PLC存在数据真实性验证不足高危漏洞(CVE-2018-7798),一旦被成功利用可远程更改PLC的IPv4配置致使通信异常。

  Modicon M221全系PLC是施耐德电气有限公司所设计的可编程逻辑控制器,可通过以太网和Modbus协议进行网络通讯。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS协议的网络配置模块实现不合理,未对数据真实性进行充分验证,导致攻击者可远程更改IPv4配置参数,例如IP地址、子网掩码和网关等,从而拦截目标PLC的网络流量。

  纵观整个2018年,各类威胁数据持续上升。但是幸运的是,政产学研各界已经纷纷意识到工控系统网络安全的重要性,并采取措施加强预警,争取防患于未然。工业互联网在国内的推进无论从国家政策层面还是企业实际落地层面都得到了积极的重视,而对工业互联网的信息安全保障也是一样的,伴随着国家“互联网+制造业”等政策的不断推进落实,工业互联网的推进速度必将不断加快,工控安全行业任重而道远。

 

(0)

相关推荐

  • 微软发布8月安全更新:共修复120个漏洞,當中17个为高危

    在最新一期的补丁星期二中,微软发布了针对120个安全漏洞的修复.这里面有17个为高危漏洞,其他的则是严重漏洞.当中更有2个漏洞是已经有不法分子利用来作入侵Windows系统的. 第一个是代号为CVE- ...

  • 宝塔服务器运维面板曝严重漏洞

    2020年7~8月CCERT安全投诉事件统计 近期新增严重漏洞评述 微软2020年8月的月度例行安全公告,共修复了微软旗下多款产品中存在的120个安全漏洞. 涉及的产品包括Windows操作系统.IE ...

  • Windows系统存在TCP/IP高危漏洞

    春节期间教育网整体运行平稳,未发现影响严重的安全事件.春节寒假期间,安全事件的整体投诉数量呈下降趋势. 在病毒与木马方面,随着近期加密货币的交易价格升级,以获取加密货币为目的的勒索攻击变得愈发猖獗.有 ...

  • 虚拟化平台软件安全需重点关注

    10月教育网整体运行平稳,未发现影响严重的安全事件.网站安全事件数量较9月略有下降. 2020 年 9~10 月 CCERT安全投诉事件统计 在病毒与木马方面,近期需要关注的还是各种勒索病毒.值得注意 ...

  • 微软2021年10月份于周二补丁日针对71个漏洞发布安全补丁

    今天已经周五了,微软的补丁日是每月的第二周的周二,而这几天因在网安周法治日工作中打杂,稍微有点忙就未能及时追踪该资讯.说起来,我也通过公众号的形式追踪三四年,每次也都会整理分享微软周二补丁日的概况了. ...

  • Windows远程桌面服务存在高危漏洞

    8月教育网运行正常,未发现影响严重的安全事件.近期教育网范围内相应的安全投诉事件数量继续呈下降趋势,这主要得益于各学校对安全工作的高度重视. 近期没有新增特别需要关注的病毒和木马程序.针对5月爆出的P ...

  • CCERT月报|将数据纳入安全管理首要目标

    近期有人在暗网中叫卖大量12306网站的用户账号及身份信息,通过公开的信息查证这些被泄漏的信息均出自真实有效的账号,随后12306官方声明这些账号信息可能是通过一些其他的第三方途径(如各类抢票软件)泄 ...

  • 7月网络安全事件大汇总

    7月初高考工作顺利结束,各高校也进入一年一度的高招保障工作期间.今年的招生工作由于疫情的原因大部分都转为线上模式,包括原来线下的招生宣传及开放日等活动也只能转在线上举行. 每年高招期间都是高校各类网站 ...

  • 社工原创写作八部曲!最受欢迎作者的写作秘诀都在这了......

    出品 | 社工客(ID:shegongke) 文稿作者 | 社工客2016-2017年度原创作者·张书豪 文稿记录 | 周莉 本文来源于10月26日晚社工客原创作者交流群线上写作主题分享会语音转录 邀 ...

  • 【AET原创】物美价廉,英机场若购中企反无人机系统可节省八成开支

    据路透社报道,英国伦敦的盖特威克机场和希思罗机场日前已订购价值"数百万英镑"的军用级反无人机防御系统,用来防范黑飞无人机给机场航班带来的风险. 与此同时,英国多家民用机场宣布开始订 ...

  • 2021高考化学要点盘点!那些渗透到选择题中的八种典型元素化合物

    高中化学了,尤其是化学元素那,简直是太难学了.元素化合物的性质应用在高考试卷中,贯穿始终,无论是化学基本概念.化学基本理论.化学计算.化学实验等各个方面,其题型灵活.作用之大.运用之广! 而且同学们查 ...

  • 一定是天上的织女困了,不小心遗落在人间的织锦——郑小林原创诗歌八首

    郑小林原创诗歌八首 一.谷克德的杜鹃 一定是天上的织女困了,不小心 遗落在人间的织锦 一定是瑶池的园丁累了,不经意 飘撒在山间的种籽 有些浪漫的传说从此生根 有些缥缈的梦境从此发芽 在谷克德开始疯长, ...

  • 当代著名八骏画家周意杰原创《八骏》

          八骏主人水墨画家周意杰峄山采风         八骏画家周意杰,1972年生,山东省邹城市人,原籍山东青州.画家号:八骏主人,画室名:古墨堂.云墨阁.白玉堂.兰亭书法研习社社长,著名国内外 ...

  • 原创诗词八首 游恩施地心谷有感等

    原创诗词八首 七绝·游恩施地心谷有感 文/源流诗纪广东 峡谷云低烟缥缈,天桥石壁挂蓝空. 幽深碧水青山转,游客流连古道中. 七绝·月季 文/源流诗纪广东 媲美玫瑰显秀明,夏秋常绽露琼英. 牡丹纵使骚人 ...

  • 欧楷原创书法八首唐诗集

    荷尽已无擎雨盖,菊残犹有傲霜枝.一年好景君须记,最是橙黄橘绿时. 李白乘舟将欲行,忽闻岸上踏歌声.桃花谭水深千尺,不及汪伦送我情. 月落乌啼霸满天,江枫渔火对愁眠.姑苏城外寒山寺,夜半钟声到客船. 半 ...

  • 吴老悬壶肝胆照,袁公击楫稻粱田——蒙建华原创诗词八首

    蒙建华原创诗词八首 (一)贺我国天和核心舱发射成功 逐梦千年唱大风,天和一跃著奇功. 雄心铸就青霄路,壮志镌来中国宫. 惊胆太空惊日月,问津无及问苍穹. 三舱会向安家后,喜看神州贯彩虹. (二)痛悼& ...

  • 房产中介在房产交易中承担赔偿责任的N种姿势(附十八个典型案例)|房产裁判指南

    房产中介未及时履行告知卖房人需配偶同意才能出售夫妻共同房产的义务,导致房屋买卖合同无法继续履行而解除的,居间服务存在瑕疵,但并非造成出卖人损失的主要原因,房产中介应对出卖人承担相应的赔偿责任. 案情简 ...