日本网络安全企业Nozomi Networks Labs 发现五个影响三菱安全 PLC 的漏洞,这些漏洞与 MELSOFT 通信协议的身份验证实施有关。
第一组漏洞于 2021 年 1 月通过 ICS-CERT 向供应商披露。
目前,这些漏洞的尚无可用补丁。供应商提供一系列缓解措施,在相应的建议中进行了描述。考虑到漏洞的潜在影响,Nozomi Networks Labs建议用户仔细评估自身安全状况并考虑应用建议的缓解措施。
因此,目前Nozomi Networks Labs表示不会透露漏洞的技术细节,也不会提供他们开发的 PoC(概念证明)来演示潜在的恶意攻击。出于对技术细节可能以某种形式披露的担忧,改为披露一般细节。这将使资产所有者没有足够的信息来评估他们的安全状况并在潜在攻击发生之前及时采取行动。
2020 年底,Nozomi Networks Labs 开始了 MELSOFT 的研究项目,MELSOFT 是三菱安全 PLC 和 GX Works3 使用的通信协议,相应的工程工作站软件。他们将分析重点集中在身份验证实施上,因为他们注意到来自其他供应商的类似 OT 产品在此攻击面中包含漏洞。除了向供应商披露漏洞外,他们还主动与三菱分享了开发的 PoC 以及研究的所有技术细节。三菱分析了他们的发现,并在承认存在漏洞后,制定了修补问题的策略。安全 PLC 或医疗设备等产品的软件更新比其他软件产品(例如您用来阅读本博客的 Web 浏览器)需要更长的时间来部署。这是因为除了开发和测试补丁之外,供应商还需要遵守特定的认证流程。根据设备类型和监管框架,每个单独的软件更新可能需要认证程序。
在等待补丁开发和部署过程完成的同时,为威胁情报服务的客户部署了检测逻辑。同时,开始研究更通用的检测策略,以便与资产所有者和整个 ICS 安全社区共享。发现的问题类型很可能会影响来自多个供应商的 OT 协议的身份验证,希望帮助保护尽可能多的系统。普遍担心的是,资产所有者可能过度依赖固定在 OT 协议上的身份验证方案的安全性,而不知道这些实现的技术细节和故障模型。出于同样的原因,以下是对三菱安全 PLC 和 GX Works3 中发现的问题的一般描述。在这个阶段,不会专注于 MELSOFT 身份验证的所有技术细节,也不会描述开发的 PoC。相反,提供的内容应该足以让安全团队评估其自身环境的风险。
首先,攻击者是有限的,只能与目标 PLC 交换数据包。其次,除了交换数据包,攻击者还能够嗅探工程工作站 (EWS) 和目标 PLC 之间的网络流量。在的研究中,他们分析了 TCP 端口 5007 上的 MELSOFT。身份验证是通过用户名/密码对实现的。在这个方案中,EWS 首先发送一个包含明文用户名的数据包,并接收来自 PLC 的回复。回复包含一个字段,用于与 EWS 通信用户名是否对 PLC 有效。如果用户名有效,EWS 将发送包含从一组元素生成的散列的第二个数据包。这些元素之一是明文密码。据我们所知,已通过一系列缓解措施解决了用户名以明文形式暴露在网络上的问题。相反,试图了解有效用户名列表是否可以通过蛮力技术显示出来。为了验证假设,他们实施了一个 PoC,结果是用户名是有效的暴力破解。攻击者的限制因素是用户名的最大长度,即 20 个字符。一旦实现了 MELSOFT 原语以执行成功的身份验证,就使用密码暴力破解器扩展初始 PoC,给定一个有效用户,反复尝试密码组合,直到找到正确的密码组合。幸运的是,在这种情况下,有一个反蛮力机制可以有效地阻止攻击者。但是,该机制的实施过于严格。它不仅阻止使用单个 IP 的潜在攻击者,还阻止来自任何 IP 的任何用户在特定时间范围内登录。这种设计的结果是,如果攻击者向 PLC 发送数量有限的密码,足以触发反暴力保护,则有效地阻止所有具有合法凭据的用户对设备进行身份验证。如果发生此类攻击,资产所有者有两种选择:
他们发现了两个来自明文密码的秘密在数据包中泄露的实例。可以读取此类数据包的攻击者将能够获取此秘密并使用它成功通过 PLC 进行身份验证。由于实现身份验证的方式,此密钥在功能上等同于明文密码。实现了一个 PoC,使用这个秘密执行成功的身份验证,而不是使用明文密码。目前正在讨论有关如何管理会话的另一个漏洞。建议资产所有者遵循本文中的缓解措施以及供应商针对前述漏洞提出的缓解措施。如果将一些已识别的漏洞链接在一起,就会出现几种攻击场景。了解这种方法很重要,因为现实世界的攻击通常是通过利用多个漏洞来实现最终目标来执行的。在这种情况下,攻击者可以通过分析工程工作站和安全 PLC 之间的活动会话来开始其活动。通过这种分析,攻击者可以了解如何复制特权命令,然后在攻击者认为被注意到的可能性最小的时候选择合适的时机继续进行恶意活动。然后攻击者会向 PLC 询问注册用户的列表。回复还将包含每个注册用户的密码等效秘密。下一阶段可以在最能达到最大影响的时候进行。攻击者现在可以使用真实凭据登录并更改安全 PLC 逻辑。然后攻击者可以启动密码暴力攻击,将所有人锁定在 PLC 之外。当工程师试图通过工程工作站重新访问 PLC 时,为时已晚就无法登录了,除非他们首先阻止密码暴力数据包到达 PLC。最后,如果攻击者加倍努力并更改注册用户的密码,则别无选择,只能物理关闭 PLC 以防止潜在危害。
建议资产所有者考虑以下一般缓解措施:
可能泄露的“静态信息”是值得考虑更新的:
网络安全等级保护:什么是关键信息基础设施
网络安全等级保护:是网络安全工作的基本方法
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:网络安全等级保护工作的内涵
网络安全等级保护:什么是等级保护?
网络安全等级保护:网络安全漏洞分类分级及管理规范
