OSS开源测试工具，迫使工控系统安全漏洞百出

Posted 2021-04-29 安点安全

关键基础设施关乎国家命脉，支撑着国家的平稳运行。如果关键基础设施遭受网络攻击，将对经济稳定、社会稳定乃至国家安全造成严重影响。

好莱坞常常将针对关键基础设施的网络攻击搬上荧屏，黑客通过简单的代码敲击造成关键基础设施瘫痪，造成破坏并引起混乱。实际上，这种场景正在成为现实。

例如2010年Stuxnet震网病毒，不仅展示了关键基础设施正在面临日益复杂的网络威胁，也充分证明封闭的控制网络并非牢不可破。

关键基础设施依赖于包括工业控制系统（ICS）在内的操作技术（OT），然而这些系统在设计之初并没有加入安全性，更没有考虑到工业4.0时代互联互通的应用场景，这为黑客提供了大量机会渗透并造成破坏。

 

以Stuxnet并代表的破坏攻击仅仅是关键基础设施正在面临的威胁的冰山一角。

2017年工业控制系统迎来了新的威胁-勒索软件（Ransomware），勒索病毒造成全球制造业、航运业、市政基础设施蒙受了巨大的经济损失，同时勒索即服务（RaaS) 的趋势导致发动勒索攻击越来越便利，更多的关键基础设施成为潜在的攻击目标。

与此同时，黑客不再将目光锁定于狭义上的工业控制系统，在过去的几个月中Triton、Industroyer等一系列以辅控系统为目标的恶意软件已经开始在关键基础设施中肆虐……

 

那么，为何关键基础设施易遭受网络攻击？

 

控制系统从设计之初就没有考虑安全性，底层通信协议亦是如此。例如，Modbus协议从设计之初就没有考虑到保护通信内容的完整性、机密性和不可抵赖性。

脆弱的通信协议导致工控设备存在大量漏洞，这给了黑客植入恶意软件/勒索软件提供了极大便利。而安全人员和黑客间竞争的本质是比拼发现漏洞的速度，快速处理/利用漏洞，但不幸的是，开源测试工具(OSS)意味着攻防双方拥有了均等的资源。

 

在近期的研究项目中，研究人员使用开源测试工具(OSS)创建了模糊测试，成功实现自动获取工控设备（例如PLC、远程终端单元RTU等）的漏洞，且速度极快，效率极高。

 

OSS工具应用PCAP文件输入，包含了正在测试的协议的数据流，考虑到获得这些数据的容易程度，以及可能覆盖设备、应用程序可用攻击表面的不同区域，增加了代码覆盖率，从而增加了找到漏洞的机会。

 

应用该OSS工具，研究人员对Wago、Siemens、Schneider、Emerson、GE供应商品牌的多台PLC进行漏洞挖掘。在短短几个小时内，研究人员就发现了8个零日漏洞：每个供应商品牌每至少存在1个零日漏洞，另外还发现了数个管理/组态软件漏洞，如Wago Ethernet Settings、Siemens TiaPortal和CodeSys。

利用以上漏洞对这些设备进行网络攻击可造成多种破坏性结果—从关闭控制器(DoS)到破坏正常的生产进程对生产环境造成物理破坏。

 

事实上，武器化OSS工具破坏工业控制系统或窃取商业机密已然正在真实世界中上演，臭名昭著的Dragonfly 2.0是最好的例证。Dragonfly 2.0包含一个工业协议扫描仪，自动检索TCP端口44848（欧姆龙和罗克韦尔自动化使用），102（西门子使用）和502（施耐德电气使用）上的设备漏洞。

如何解决OSS带来的新型威胁？

• 依据安全防护指南对控制网络进行严格的边界隔离。

  
  

• 通过应用态势感知行为分析技术确保网络的高度可见性，被动监控网络流量，并快速检测异常或可疑活动，以阻止攻击或立即识别设备故障。

  
  

• 政府和私营企业之间的情报共享至关重要，威胁情报意味着抢占战略高地。

关于我们

安点科技是中国领先的工业控制网络信息安全威胁识别与防御技术提供商。依靠自身对安全技术的持续性研究，以及对行业需求的敏锐洞察力，帮助企业用户降低由网络安全风险带来的持续性的或重大的损失，从而获得企业战略性竞争优势。

目前，安点科技工控安全产品已广泛应用于电力、石油化工、军工生产、军工研究院所、数字矿山、先进制造等领域。

联系方式：

官网：www.secpoint.com.cn

E-Mail：market@secpoint.com.cn