1.施耐德PLC曝高危漏洞
近日,媒體報(bào)道施耐德電氣公司發(fā)布固件補(bǔ)丁用于修補(bǔ)其Modicon M340可編程邏輯控制器(PLC)產(chǎn)品線的嚴(yán)重性漏洞。
該漏洞是一個(gè)緩沖區(qū)溢出漏洞(CVE-2015-7937)。用戶在訪問(wèn)相關(guān)施耐德PLC的WEB服務(wù)器時(shí),需要填入用戶名和口令。由于WEB服務(wù)器未能對(duì)該口令的輸入數(shù)據(jù)做合理處理,當(dāng)填入一個(gè)較長(zhǎng)隨機(jī)密碼(如:90~100個(gè)字符),會(huì)導(dǎo)致設(shè)備崩潰。據(jù)發(fā)現(xiàn)此漏洞的安全公司CyberX介紹,漏洞是由于web服務(wù)器采用了沒(méi)有緩沖區(qū)溢出保護(hù)的strcpy()函數(shù)將口令域輸入內(nèi)容拷貝到65個(gè)字符的緩沖區(qū)導(dǎo)致的。除了導(dǎo)致設(shè)備崩潰,該漏洞還有可能被利用來(lái)在設(shè)備內(nèi)存中注入遠(yuǎn)程執(zhí)行任意代碼。
該漏洞影響多達(dá)13款Modicon M340型號(hào)產(chǎn)品,受影響設(shè)備主要應(yīng)用在美國(guó)、俄羅斯、中國(guó)和印度的能源、國(guó)防工業(yè)基礎(chǔ)、核電、交通、政府設(shè)施和給排水產(chǎn)業(yè)。
施耐德公司在12月15日發(fā)布了第一批固件更新,另一輪補(bǔ)丁包預(yù)計(jì)在1月16日放出。目前對(duì)于補(bǔ)丁的修復(fù)效果還不得而知。
2.如何應(yīng)急響應(yīng)
從上述報(bào)道信息進(jìn)行分析,上述漏洞實(shí)際上可能是由于程序員在開(kāi)發(fā)的時(shí)候沒(méi)有對(duì)密碼輸入字符串做驗(yàn)證就進(jìn)行拷貝這樣的低級(jí)錯(cuò)誤導(dǎo)致。失誤比較低級(jí),但漏洞卻是高危,黑客通過(guò)惡意軟件入侵上位機(jī)或從內(nèi)部工控網(wǎng)絡(luò)任意接入后通過(guò)一段簡(jiǎn)單的漏洞利用代碼即可實(shí)施攻擊,即便沒(méi)有什么技術(shù)背景的黑客都可以利用輕易發(fā)動(dòng)攻擊,漏洞涉及客戶面廣。對(duì)于所有使用這些PLC型號(hào)的客戶,威努特建議實(shí)施如下應(yīng)急響應(yīng)措施:
-
WEB服務(wù)容易遭受黑客攻擊,如無(wú)必要,建議通過(guò)工控防火墻關(guān)閉PLC的80端口來(lái)禁止訪問(wèn)WEB服務(wù)。威努特工控專用防火墻的用戶,可以咨詢威努特技術(shù)支持人員進(jìn)行相關(guān)配置。
-
如果必須使用WEB服務(wù),可在漏洞補(bǔ)丁效果得到驗(yàn)證的情況下載補(bǔ)丁更新。同時(shí)檢查工控防火墻上實(shí)施訪問(wèn)控制策略,僅允許相關(guān)的工程師站或監(jiān)控主機(jī)訪問(wèn)這些PLC。
-
采用專業(yè)的工控漏洞挖掘產(chǎn)品對(duì)設(shè)備是否存在其他漏洞進(jìn)行全面的漏洞評(píng)估和分析。用戶可以聯(lián)系威努特工程師尋求技術(shù)幫助。
-
工控設(shè)備的脆弱性狀況
本次漏洞已經(jīng)不是第一個(gè)被CyberX研究人員在流行PLC產(chǎn)品中發(fā)現(xiàn)的嚴(yán)重漏洞了。今年10月,工控系統(tǒng)網(wǎng)絡(luò)安全會(huì)議上,吉勒和厄奇就披露了兩個(gè)羅克韋爾自動(dòng)化公司MicroLogix系Allen-Bradley控制器中的漏洞。其中一個(gè)漏洞被該公司命名為“霜凍URL(FrostyURL)”,可被利用來(lái)引起設(shè)備崩潰,導(dǎo)致網(wǎng)絡(luò)癱瘓。CyberX發(fā)現(xiàn)的另一個(gè)漏洞是個(gè)緩沖區(qū)溢出和漏洞,可被用于拒絕訪問(wèn)攻擊甚至遠(yuǎn)程執(zhí)行代碼。
事實(shí)上,工控設(shè)備的漏洞和脆弱性問(wèn)題長(zhǎng)久以來(lái)被忽視,而近年來(lái)暴露了多起工控設(shè)備漏洞問(wèn)題,發(fā)生了多起利用工控漏洞的攻擊事件。工業(yè)網(wǎng)絡(luò)企業(yè),尤其是國(guó)家重要基礎(chǔ)設(shè)施行業(yè)需要意識(shí)到工控設(shè)備自身的脆弱性是工控網(wǎng)絡(luò)安全的重要環(huán)節(jié),避免因工控設(shè)備漏洞被利用而導(dǎo)致重大的生產(chǎn)運(yùn)營(yíng)事故和社會(huì)影響。而評(píng)測(cè)認(rèn)證機(jī)構(gòu)、工控設(shè)備商、行業(yè)入圍采購(gòu)機(jī)構(gòu)都應(yīng)認(rèn)識(shí)到在不同的環(huán)節(jié)對(duì)工控設(shè)備漏洞管理的重要性和必要性。
4.建議措施
威努特建議工控設(shè)備產(chǎn)業(yè)鏈的各端采取以下常態(tài)化的漏洞管理措施:
-
工控設(shè)備商——版本發(fā)布進(jìn)行漏洞檢測(cè)
工控設(shè)備、軟件供應(yīng)商可以在版本發(fā)布之前,對(duì)工控設(shè)備、軟件進(jìn)行測(cè)試,發(fā)現(xiàn)并修復(fù)產(chǎn)品的安全缺陷(安全漏洞),提升產(chǎn)品自身安全性和競(jìng)爭(zhēng)力。
-
測(cè)評(píng)機(jī)構(gòu)——實(shí)施工控設(shè)備安全性測(cè)評(píng)和認(rèn)證
各類(lèi)國(guó)家和行業(yè)測(cè)評(píng)機(jī)構(gòu),開(kāi)展針對(duì)工控設(shè)備、軟件的測(cè)評(píng)服務(wù),對(duì)其通信健壯性、安全性對(duì)工控設(shè)備作出評(píng)價(jià),并據(jù)此頒發(fā)相應(yīng)證書(shū),促進(jìn)工控行業(yè)的產(chǎn)品自身安全性提升。
-
工業(yè)行業(yè)機(jī)構(gòu)(研究院/設(shè)計(jì)院)——行業(yè)入圍和采購(gòu)階段的產(chǎn)品測(cè)試
在行業(yè)入圍測(cè)試和采購(gòu)前的產(chǎn)品測(cè)試環(huán)節(jié),合理評(píng)估各入圍廠商工控設(shè)備的自身安全性狀況,作為設(shè)備入圍和采購(gòu)管理的重要技術(shù)指標(biāo),在正式采購(gòu)前對(duì)設(shè)備的安全風(fēng)險(xiǎn)進(jìn)行管理,避免“漏洞百出”的設(shè)備進(jìn)入采購(gòu)名單,造成投資損失。
-
工業(yè)企業(yè)——網(wǎng)絡(luò)建設(shè)/改造前后的安全風(fēng)險(xiǎn)評(píng)估和事故后的分析調(diào)查
在工控系統(tǒng)的建設(shè)、系統(tǒng)改造的不同階段對(duì)工控系統(tǒng)漏洞進(jìn)行管理,通過(guò)專業(yè)的漏洞挖掘產(chǎn)品評(píng)估待上線設(shè)備的漏洞狀況,在確定是否具備上線條件,對(duì)于具有高危漏洞的設(shè)備,需要和廠商聯(lián)系及時(shí)修復(fù)。
網(wǎng)絡(luò)安全事故后,可以通過(guò)專業(yè)的工控漏洞挖掘產(chǎn)品確定網(wǎng)絡(luò)被攻擊的可能漏洞所在,盡可能多地提供信息方便調(diào)查攻擊的來(lái)源。
5.威努特專業(yè)工控漏洞挖掘系統(tǒng)(IVM)-產(chǎn)品介紹
上述各個(gè)環(huán)節(jié)的漏洞管理需要專業(yè)的技術(shù)手段來(lái)支持,威努特提供國(guó)內(nèi)首個(gè)工控漏洞挖掘產(chǎn)品,支持整個(gè)漏洞管理生命周期各階段的工作開(kāi)展。
1)產(chǎn)品概述
工業(yè)控制系統(tǒng)承擔(dān)著企業(yè)運(yùn)營(yíng)生產(chǎn)的重要任務(wù)和目標(biāo),而長(zhǎng)期以來(lái)工業(yè)控制系統(tǒng)的建設(shè)目標(biāo)都是以生產(chǎn)可用性為主,對(duì)于工控設(shè)備自身的安全性和健壯性很少關(guān)注。許多設(shè)備帶著各種漏洞風(fēng)險(xiǎn)在線運(yùn)行,一旦發(fā)生惡意攻擊事件將導(dǎo)致工控設(shè)備癱瘓、生產(chǎn)良品率低、產(chǎn)生生產(chǎn)事故等不可預(yù)估的問(wèn)題。
目前國(guó)內(nèi)沒(méi)有針對(duì)工業(yè)控制設(shè)備安全性與健壯性的檢驗(yàn)的系統(tǒng),傳統(tǒng)的漏洞掃描技術(shù)類(lèi)產(chǎn)品無(wú)法滿足要求,威努特工控漏洞挖掘系統(tǒng)(Winicssec IVM)就是基于這一問(wèn)題現(xiàn)狀而自主研發(fā)的用于驗(yàn)證各類(lèi)工控設(shè)備存在的漏洞和安全狀況的一款產(chǎn)品。產(chǎn)品針對(duì)當(dāng)前知名的工業(yè)控制協(xié)議進(jìn)行分析,根據(jù)它們的特點(diǎn),用模糊測(cè)試的理論來(lái)生成對(duì)應(yīng)的協(xié)議報(bào)文(包括正確的和錯(cuò)誤的報(bào)文),通過(guò)對(duì)協(xié)議字段進(jìn)行變換,例如邊界測(cè)試等等方法,進(jìn)行安全性和健壯性測(cè)試,深度挖掘出工控設(shè)備存在的各類(lèi)已知和未知的漏洞。產(chǎn)品采用高性能的機(jī)架式硬件設(shè)計(jì)和優(yōu)化的軟件架構(gòu)設(shè)計(jì),漏洞挖掘的效率高。威努特工控安全漏洞挖掘產(chǎn)品通過(guò)對(duì)工業(yè)控制設(shè)備進(jìn)行漏洞挖掘,不僅能全面的找到設(shè)備存在哪些安全問(wèn)題和健壯性問(wèn)題,定位問(wèn)題來(lái)源,還可以給出問(wèn)題的解決方案建議,幫助廠商及時(shí)修復(fù)這些問(wèn)題,提高工控設(shè)備的安全等級(jí)。
-
客戶價(jià)值
-
保護(hù)用戶工控項(xiàng)目投資.幫助企業(yè)用戶對(duì)新上線工控設(shè)備進(jìn)行功能性、兼容性、安全性測(cè)試,保護(hù)用戶工控項(xiàng)目投資。
-
防止工控網(wǎng)絡(luò)攻擊。幫助企業(yè)用戶和工控廠商發(fā)現(xiàn)工控系統(tǒng)和協(xié)議的漏洞,防止黑客利用工控漏洞進(jìn)行網(wǎng)絡(luò)攻擊,避免給企業(yè)帶來(lái)商譽(yù)及經(jīng)濟(jì)上的損失。
-
保障工控產(chǎn)品的競(jìng)爭(zhēng)力。幫助工控廠商對(duì)工控產(chǎn)品進(jìn)行驗(yàn)證測(cè)試,發(fā)現(xiàn)產(chǎn)品存在的問(wèn)題,保障工控產(chǎn)品開(kāi)發(fā)成功。
-
提升安全測(cè)評(píng)能力和權(quán)威性。產(chǎn)品可以幫助各類(lèi)測(cè)評(píng)機(jī)構(gòu)更好的對(duì)工控設(shè)備進(jìn)行測(cè)評(píng),有效幫助其提升測(cè)評(píng)能力和權(quán)威性。
-
提升安全評(píng)估能力。有效幫助工控安全服務(wù)和評(píng)估企業(yè)提升風(fēng)險(xiǎn)評(píng)估能力。
詳細(xì)產(chǎn)品信息,請(qǐng)參照《威努特工控漏洞挖掘系統(tǒng)-產(chǎn)品白皮書(shū)》。
手機(jī)圖頁(yè)網(wǎng)
