1.施耐德PLC曝高危漏洞
近日,媒體報道施耐德電氣公司發(fā)布固件補丁用于修補其Modicon M340可編程邏輯控制器(PLC)產(chǎn)品線的嚴重性漏洞。
該漏洞是一個緩沖區(qū)溢出漏洞(CVE-2015-7937)。用戶在訪問相關(guān)施耐德PLC的WEB服務(wù)器時,需要填入用戶名和口令。由于WEB服務(wù)器未能對該口令的輸入數(shù)據(jù)做合理處理,當(dāng)填入一個較長隨機密碼(如:90~100個字符),會導(dǎo)致設(shè)備崩潰。據(jù)發(fā)現(xiàn)此漏洞的安全公司CyberX介紹,漏洞是由于web服務(wù)器采用了沒有緩沖區(qū)溢出保護的strcpy()函數(shù)將口令域輸入內(nèi)容拷貝到65個字符的緩沖區(qū)導(dǎo)致的。除了導(dǎo)致設(shè)備崩潰,該漏洞還有可能被利用來在設(shè)備內(nèi)存中注入遠程執(zhí)行任意代碼。
該漏洞影響多達13款Modicon M340型號產(chǎn)品,受影響設(shè)備主要應(yīng)用在美國、俄羅斯、中國和印度的能源、國防工業(yè)基礎(chǔ)、核電、交通、政府設(shè)施和給排水產(chǎn)業(yè)。
施耐德公司在12月15日發(fā)布了第一批固件更新,另一輪補丁包預(yù)計在1月16日放出。目前對于補丁的修復(fù)效果還不得而知。
2.如何應(yīng)急響應(yīng)
從上述報道信息進行分析,上述漏洞實際上可能是由于程序員在開發(fā)的時候沒有對密碼輸入字符串做驗證就進行拷貝這樣的低級錯誤導(dǎo)致。失誤比較低級,但漏洞卻是高危,黑客通過惡意軟件入侵上位機或從內(nèi)部工控網(wǎng)絡(luò)任意接入后通過一段簡單的漏洞利用代碼即可實施攻擊,即便沒有什么技術(shù)背景的黑客都可以利用輕易發(fā)動攻擊,漏洞涉及客戶面廣。對于所有使用這些PLC型號的客戶,威努特建議實施如下應(yīng)急響應(yīng)措施:
-
WEB服務(wù)容易遭受黑客攻擊,如無必要,建議通過工控防火墻關(guān)閉PLC的80端口來禁止訪問WEB服務(wù)。威努特工控專用防火墻的用戶,可以咨詢威努特技術(shù)支持人員進行相關(guān)配置。
-
如果必須使用WEB服務(wù),可在漏洞補丁效果得到驗證的情況下載補丁更新。同時檢查工控防火墻上實施訪問控制策略,僅允許相關(guān)的工程師站或監(jiān)控主機訪問這些PLC。
-
采用專業(yè)的工控漏洞挖掘產(chǎn)品對設(shè)備是否存在其他漏洞進行全面的漏洞評估和分析。用戶可以聯(lián)系威努特工程師尋求技術(shù)幫助。
-
工控設(shè)備的脆弱性狀況
本次漏洞已經(jīng)不是第一個被CyberX研究人員在流行PLC產(chǎn)品中發(fā)現(xiàn)的嚴重漏洞了。今年10月,工控系統(tǒng)網(wǎng)絡(luò)安全會議上,吉勒和厄奇就披露了兩個羅克韋爾自動化公司MicroLogix系Allen-Bradley控制器中的漏洞。其中一個漏洞被該公司命名為“霜凍URL(FrostyURL)”,可被利用來引起設(shè)備崩潰,導(dǎo)致網(wǎng)絡(luò)癱瘓。CyberX發(fā)現(xiàn)的另一個漏洞是個緩沖區(qū)溢出和漏洞,可被用于拒絕訪問攻擊甚至遠程執(zhí)行代碼。
事實上,工控設(shè)備的漏洞和脆弱性問題長久以來被忽視,而近年來暴露了多起工控設(shè)備漏洞問題,發(fā)生了多起利用工控漏洞的攻擊事件。工業(yè)網(wǎng)絡(luò)企業(yè),尤其是國家重要基礎(chǔ)設(shè)施行業(yè)需要意識到工控設(shè)備自身的脆弱性是工控網(wǎng)絡(luò)安全的重要環(huán)節(jié),避免因工控設(shè)備漏洞被利用而導(dǎo)致重大的生產(chǎn)運營事故和社會影響。而評測認證機構(gòu)、工控設(shè)備商、行業(yè)入圍采購機構(gòu)都應(yīng)認識到在不同的環(huán)節(jié)對工控設(shè)備漏洞管理的重要性和必要性。
4.建議措施
威努特建議工控設(shè)備產(chǎn)業(yè)鏈的各端采取以下常態(tài)化的漏洞管理措施:
-
工控設(shè)備商——版本發(fā)布進行漏洞檢測
工控設(shè)備、軟件供應(yīng)商可以在版本發(fā)布之前,對工控設(shè)備、軟件進行測試,發(fā)現(xiàn)并修復(fù)產(chǎn)品的安全缺陷(安全漏洞),提升產(chǎn)品自身安全性和競爭力。
-
測評機構(gòu)——實施工控設(shè)備安全性測評和認證
各類國家和行業(yè)測評機構(gòu),開展針對工控設(shè)備、軟件的測評服務(wù),對其通信健壯性、安全性對工控設(shè)備作出評價,并據(jù)此頒發(fā)相應(yīng)證書,促進工控行業(yè)的產(chǎn)品自身安全性提升。
-
工業(yè)行業(yè)機構(gòu)(研究院/設(shè)計院)——行業(yè)入圍和采購階段的產(chǎn)品測試
在行業(yè)入圍測試和采購前的產(chǎn)品測試環(huán)節(jié),合理評估各入圍廠商工控設(shè)備的自身安全性狀況,作為設(shè)備入圍和采購管理的重要技術(shù)指標(biāo),在正式采購前對設(shè)備的安全風(fēng)險進行管理,避免“漏洞百出”的設(shè)備進入采購名單,造成投資損失。
-
工業(yè)企業(yè)——網(wǎng)絡(luò)建設(shè)/改造前后的安全風(fēng)險評估和事故后的分析調(diào)查
在工控系統(tǒng)的建設(shè)、系統(tǒng)改造的不同階段對工控系統(tǒng)漏洞進行管理,通過專業(yè)的漏洞挖掘產(chǎn)品評估待上線設(shè)備的漏洞狀況,在確定是否具備上線條件,對于具有高危漏洞的設(shè)備,需要和廠商聯(lián)系及時修復(fù)。
網(wǎng)絡(luò)安全事故后,可以通過專業(yè)的工控漏洞挖掘產(chǎn)品確定網(wǎng)絡(luò)被攻擊的可能漏洞所在,盡可能多地提供信息方便調(diào)查攻擊的來源。
5.威努特專業(yè)工控漏洞挖掘系統(tǒng)(IVM)-產(chǎn)品介紹
上述各個環(huán)節(jié)的漏洞管理需要專業(yè)的技術(shù)手段來支持,威努特提供國內(nèi)首個工控漏洞挖掘產(chǎn)品,支持整個漏洞管理生命周期各階段的工作開展。
1)產(chǎn)品概述
工業(yè)控制系統(tǒng)承擔(dān)著企業(yè)運營生產(chǎn)的重要任務(wù)和目標(biāo),而長期以來工業(yè)控制系統(tǒng)的建設(shè)目標(biāo)都是以生產(chǎn)可用性為主,對于工控設(shè)備自身的安全性和健壯性很少關(guān)注。許多設(shè)備帶著各種漏洞風(fēng)險在線運行,一旦發(fā)生惡意攻擊事件將導(dǎo)致工控設(shè)備癱瘓、生產(chǎn)良品率低、產(chǎn)生生產(chǎn)事故等不可預(yù)估的問題。
目前國內(nèi)沒有針對工業(yè)控制設(shè)備安全性與健壯性的檢驗的系統(tǒng),傳統(tǒng)的漏洞掃描技術(shù)類產(chǎn)品無法滿足要求,威努特工控漏洞挖掘系統(tǒng)(Winicssec IVM)就是基于這一問題現(xiàn)狀而自主研發(fā)的用于驗證各類工控設(shè)備存在的漏洞和安全狀況的一款產(chǎn)品。產(chǎn)品針對當(dāng)前知名的工業(yè)控制協(xié)議進行分析,根據(jù)它們的特點,用模糊測試的理論來生成對應(yīng)的協(xié)議報文(包括正確的和錯誤的報文),通過對協(xié)議字段進行變換,例如邊界測試等等方法,進行安全性和健壯性測試,深度挖掘出工控設(shè)備存在的各類已知和未知的漏洞。產(chǎn)品采用高性能的機架式硬件設(shè)計和優(yōu)化的軟件架構(gòu)設(shè)計,漏洞挖掘的效率高。威努特工控安全漏洞挖掘產(chǎn)品通過對工業(yè)控制設(shè)備進行漏洞挖掘,不僅能全面的找到設(shè)備存在哪些安全問題和健壯性問題,定位問題來源,還可以給出問題的解決方案建議,幫助廠商及時修復(fù)這些問題,提高工控設(shè)備的安全等級。
-
客戶價值
-
保護用戶工控項目投資.幫助企業(yè)用戶對新上線工控設(shè)備進行功能性、兼容性、安全性測試,保護用戶工控項目投資。
-
防止工控網(wǎng)絡(luò)攻擊。幫助企業(yè)用戶和工控廠商發(fā)現(xiàn)工控系統(tǒng)和協(xié)議的漏洞,防止黑客利用工控漏洞進行網(wǎng)絡(luò)攻擊,避免給企業(yè)帶來商譽及經(jīng)濟上的損失。
-
保障工控產(chǎn)品的競爭力。幫助工控廠商對工控產(chǎn)品進行驗證測試,發(fā)現(xiàn)產(chǎn)品存在的問題,保障工控產(chǎn)品開發(fā)成功。
-
提升安全測評能力和權(quán)威性。產(chǎn)品可以幫助各類測評機構(gòu)更好的對工控設(shè)備進行測評,有效幫助其提升測評能力和權(quán)威性。
-
提升安全評估能力。有效幫助工控安全服務(wù)和評估企業(yè)提升風(fēng)險評估能力。
詳細產(chǎn)品信息,請參照《威努特工控漏洞挖掘系統(tǒng)-產(chǎn)品白皮書》。
手機圖頁網(wǎng)
