信息來源:4hou
近日,西門子發(fā)布公告稱,其常用于石化工廠和大型可再生能源發(fā)電廠的工業(yè)設備中,存在54個安全漏洞,其中最為嚴重的漏洞可用于拒絕服務(DoS)攻擊或在任意服務器上進行遠程代碼執(zhí)行,這將會讓發(fā)電廠面臨出現(xiàn)故障并停止發(fā)電的風險。然而,更為恐怖的是,本次受影響的產(chǎn)品分布式控制系統(tǒng)SPPA-T3000,它遍布于美國、德國、俄羅斯和其它國家的主要發(fā)電廠中,這意味著全球電廠或?qū)⒃庥龃蠼匐y。
西門子工業(yè)設備54個致命漏洞曝光,全球電廠或?qū)⒃庥龃髷嚯娭貏?chuàng)
西門子SPPA-T3000分布式控制系統(tǒng)——它專為石化和大型可再生能源發(fā)電廠而設計,并廣泛應用美國、德國、俄羅斯等國電廠中,用于協(xié)調(diào)和監(jiān)督發(fā)電。
然而,就在近日,西門子向全球發(fā)布公告稱:SPPA-T3000應用服務器存在19個漏洞,SPAA-T3000MS3000遷移服務器存在35個安全漏洞。在這54個漏洞中,有些被評為嚴重漏洞,可被利用來進行拒絕服務(DoS)攻擊或在服務器上執(zhí)行任意代碼。
在上周四舉行的媒體公告中,Positive Technologies 工控安全主管Vladimir Nazarov也公開表示:
“通過利用這些漏洞,攻擊者可以在應用服務器上運行任意代碼,從而控制操作并破壞它們。這可能會阻止發(fā)電,并導致安裝了易受攻擊系統(tǒng)的發(fā)電廠發(fā)生故障。”
值得注意的是,嚴重的漏洞可觸發(fā)應用程序上的遠程代碼執(zhí)行問題,即啟動RCE。
這里可以用CVE-2019-18283來舉例,它是一個嚴重的不受信任的數(shù)據(jù)反序列化漏洞,可以使攻擊者“通過向其功能之一發(fā)送經(jīng)過特殊設計的對象,來獲得遠程代碼執(zhí)行權限”。
除以上攻擊外,研究人員還發(fā)現(xiàn):利用這些漏洞,攻擊者還可獲取和更改用戶密碼、獲取包含敏感信息的目錄列表和文件、將特權提升為ROOT、枚舉正在運行的RPC服務、上傳未經(jīng)身份驗證的任意文件、在本地文件系統(tǒng)上讀寫任意文件、訪問服務器上的訪問路徑和文件名、枚舉用戶名以及訪問日志和配置文件等惡意操作。
然而遺憾的是,據(jù)外媒報道,截止到目前西門子僅僅修復了其中的三個漏洞。
威脅仍在,全球大規(guī)?!皵嚯姟被蛟S一觸即發(fā)。
面臨致命漏洞威脅挑戰(zhàn),既要?!昂献骰锇椤卑踩?,又要謹防“內(nèi)鬼”
雖然漏洞威脅依然存在,但西門子在報告中表示,若想利用這些漏洞,攻擊者就需要訪問PROFIBUS協(xié)議(PROFIBUS協(xié)議:這是一個用在自動化技術的現(xiàn)場總線標準)中的Application Highway或Automation Highway。如果按照產(chǎn)品安全手冊中的說明設置系統(tǒng),這些網(wǎng)段是不會被暴露的。簡單來說,這些漏洞很難從外部利用。
所以,從另外一個角度來說,若攻擊者發(fā)動攻擊,他最有可能通過以下兩種方式:
第一種方式:“曲線攻擊”戰(zhàn)術
先從入侵合作伙伴開始,然后利用合作伙伴的IT系統(tǒng)發(fā)起對最終目標發(fā)電站的攻擊。
2018年1月10日,《華爾街日報》就曾發(fā)文章指出,俄羅斯黑客頻繁攻擊美國電網(wǎng)系統(tǒng),但他們并不是正面入侵,而是把目標對準了防護措施更薄弱的電網(wǎng)承包商們。
具體來講,黑客首先通過魚叉式網(wǎng)絡釣魚人員入侵了電網(wǎng)等關鍵基礎設施的設備制造商和供應商,以獲取登錄憑據(jù),或通過誘騙的網(wǎng)頁在其機器上安裝惡意軟件。隨后,黑客采取進一步橫向移動方式,并最終獲取關于工業(yè)控制系統(tǒng)以及能源生產(chǎn)設施輸出的監(jiān)控與數(shù)據(jù)采集系統(tǒng)信息。
第二種方式:“內(nèi)鬼攻擊”方式
這里也有個典型的案例——“震網(wǎng)”迫使伊朗核電站“流產(chǎn)”事件。其病毒初始感染是就因荷蘭情報機構雇傭的“內(nèi)鬼”。
當時,荷蘭間諜偽裝成維修工成功潛入了納坦茲,雖然他的工作并不能直接接觸到離心機,但該間諜利用幾個月里多次進入納坦茲機會,持續(xù)收集相關信息,幫助研制網(wǎng)絡武器的小組制定精準的攻擊計劃。
另外,伊朗離心機的網(wǎng)絡是隔離的,離心機工程師會用U盤拷代碼進離心機網(wǎng)絡,因此安全專家們推測:間諜要么是直接把U盤插到了離心機網(wǎng)絡,要么是感染了工程師的存儲設備,接著讓工程師帶入感染后的代碼。
通過以上分析,可以看出,即使西門子官方說這些漏洞很難從外部利用。但“合作伙伴”、“內(nèi)鬼”(這里包括供應商、員工或者任何第三方合作)都將是黑客發(fā)動攻擊的重要突破口。所以,安全從來都不是絕對的安全,靜態(tài)的安全,個體化的安全。
所以,在任何漏洞、黑客攻擊面前,我們都不能掉以輕心,尤其是在工業(yè)控制系統(tǒng)等關鍵基礎設施面臨威脅時,我們更不能有絲毫懈怠。
我們應用整體思維,用積極的攻防視角,用動態(tài)的模式;融合全球安全大數(shù)據(jù)、威脅情報與知識庫,以“看得見、守得住”的網(wǎng)絡安全防御能力,并依靠高級威脅應對安全專家等資源,去全面對抗越來越復雜的網(wǎng)絡攻擊問題。