工业网络安全警报--基于云的ICS管理系统可能给工业企业带来重大风险
2021-07-24
来源:网空闲话
知名工业网络安全公司Claroty当地时间7月21日发布的研究报告称,其Team82团队研究了用于监控和配置工业控制系统(ICS)的基于云的管理平台的可利用性。工业控制系统(ICS)采用云计算的势头是不可否认的,这促使Team82去检查这些平台和架构的安全性。Team82通过两个独特的攻击向量开发了利用自动化供应商CODESYS自动化服务器漏洞的技术。该研究还包括在WAGO PLC平台中发现漏洞,并开发一个复杂的攻击链,以攻击单个云管理的PLC,并最终接管基于云的主机帐户。CODESYS和WAGO已修复了Team82发现和披露的所有漏洞。报告还研究了基于云计算的OT和SCADA基础设施的构成以及攻击者可用的攻击面。
作为这项研究的一部分,Claroty的Team82研究团队的成员共利用了7个漏洞,包括3个影响CODESYS和4个影响WAGO产品。具体来说,这些缺陷影响了CODESYS的自动化服务器平台,该平台使组织能够从云端管理工业控制系统(ICS),以及WAGO的一些可编程逻辑控制器(PLC)。具体漏洞信息见下表。
研究人员展示了攻击者如何从基于云的管理控制台到所有被管理的终端设备,也可以从终端设备到管理控制台。
Claroty提出的攻击场景涉及到社会工程、WAGO和CODESYS漏洞的利用——这些漏洞在最近几个月被供应商修补过——以及其他一些技术和漏洞。
在第一个攻击场景中,攻击者使用偷来的凭据或漏洞获得对管理控制台操作员帐户的未经授权访问。
在Claroty描述的一个理论场景中,攻击者创建了一个恶意的CODESYS包,用于泄漏凭证。这些包允许用户向CODESYS产品添加新功能,它们可以在专门的应用程序商店中获得。
如果攻击者成功地将恶意包上传到CODESYS存储中,他们可以说服OT工程师安装该包,他们可以在目标Windows设备上执行任意代码,并获得自动化服务器凭据。
Claroty研究人员在一篇博客文章中解释说:“一旦攻击者进入基于云计算的管理控制台,他们就有了一个广泛的攻击面。”“攻击者能做的最简单的事情就是修改甚至停止当前运行在受控plc上的逻辑。例如,攻击者可以停止负责生产线温度调节的PLC程序,或者像震网病毒一样改变离心机的速度。这些类型的攻击可能会导致现实生活中的破坏,影响生产时间和可用性。”
攻击者还可以试图找到使他们能够逃离PLC沙盒的漏洞,这将使他们获得对控制器的完全控制。
总结一下,攻击步骤是这样的:
1、攻击者创建一个恶意包,一旦安装,窃取保存的云用户名和口令。
2、攻击者设法让OT工程师安装恶意包(例如,通过社会工程,或通过向CODESYS存储提交恶意代码包)。
3、使用OT工程师泄露的自动化服务器凭据,攻击者修改当前配置的项目,并添加一个恶意任务,例如,将在PLC上运行反向shell。
4、攻击者将一个流氓项目部署到所有相连的PLC上,并获得对整个PLC的未经授权的访问。
在Claroty描述的第二种情况中,攻击者从一个被破坏的PLC到基于云的管理控制台,从那里他们可以攻击其他被管理的端点。
研究人员表明攻击者可以劫持WAGO PLC通过利用一个未经身份验证的远程代码执行漏洞他们发现,然后使用集成的CODESYS WebVisu特性来添加一个新用户管理平台,并利用该帐户接管CODESYS自动化服务器实例。
Team82能够通过以下步骤在CODESYS自动化服务器和WAGO PLC平台上实现这一点:
1、利用WAGO PLC上的预认证远程代码执行漏洞。
2、利用集成CODESYS WebVisu特性中的一个bug向基于云的平台添加一个新用户。
3、接管CODESYS自动化服务器帐户。
每一种攻击都将WAGO和CODESYS产品中的研究人员发现的漏洞链接起来。
Claroty提供了一些行业组织应该遵循的高级别建议,以将攻击的风险降至最低。具体缓解建议如下:
1、将所有云连接解决方案视为与您的工业网络的可信通信,并实施供应链风险管理计划,包括了解供应商的安全计划。
2、要知道,现有的不连接云的解决方案可能会在下次升级中被连接——主动监控工业资产对于检测到供应商网络的意外连接至关重要,这样你就可以重新评估风险,并根据需要采取措施来缓解。
3、实施零信任架构和策略,限制跨越工业网络的异常通信。
4、虽然对可信云连接的内联攻击几乎不可能被检测到,但攻击者很可能会尝试横向移动,以危及工业网络中的其他系统。确保建立监控能力,以识别来自关键资产的意外横向移动尝试。
5、确保您的安全运营中心(SOC)和事件响应团队准备以及时和适当的方式响应工业网络事件。SOC团队通常以IT为中心,为了OT环境的考虑,他们的一些计划可能需要更新。还可以考虑一个预先事件响应服务,以确保在事件发生时快速响应。
