快捷搜索:  网络  后门  CVE  渗透  扫描  木马  黑客  as

从罗克韦尔工控设备曝多项严重漏洞事故浅谈怎么样维护工业现场工控设备

摘要

随着“中国建造2025”和工业4.0的快速发铺,工业化与信息化的融合趋向越来越显然,工业控制体系也在行使最新的计算机收集手艺来提高体系间的集成、互联和信息化治理水平。

未来为了提高生产效劳以及效益,工控收集会越来越开放,而开放带来的安全问题将成为限定两化融合和工业4.0发铺的重要身分。传统的物理隔离解决要领已经不能餍足现阶段两化融合发铺对安全的需求,泛博的工业控制体系用户火急需要解决以下问题:防止对工控体系的非法指令操作;防止非法身份的用户对工控体系的走访;防止非法时间段对工控体系的操作;防止非法协定进入工控体系等。

1、违景

2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400系列可编程逻辑控制器( PLC )中存在多项严重安全漏洞,这些漏洞可用来提议拒尽服务攻击、篡改设备的设置以及梯形逻辑、写入或删除内存模块上的数据等。

二、概述

AB-MicroLogix 1400控制器是MicroLogix系列新的产品线,带有内置的摹拟量输入、以太网通信、更快的高速计数器、可调脉冲输出,专为扩大应用范围而设计,目前被广泛应用与症结基础举措措施、食品生产加工行业、农业及水处理等行业的工业控制现场,用于控制电机、阀门等工业设备。

image.png

图1  AB 1400系列PLC

3、危害

下列是此次爆出的Allen-Bradley MicroLogix 1400 B 系列漏洞详情:

1.以太网卡格式错误的数据包拒尽服务漏洞(TALOS-2017-0440 / CVE-2017-12088)

该漏洞允许未经身份验证的攻击者发送特制数据包,从而使受影响的设备进入电源轮回并进入故障状态,这类情形会导致先前存储在设备上的梯形逻辑被删除。需要注意的是,这个漏洞不是通过以太网/ IP 协定来行使的,因此使用 RSLogix 来禁用以太网/ IP 不会提供有用的缓解。

2.梯形图逻辑程序下载设备故障拒尽服务漏洞(TALOS-2017-0441 / CVE-2017-12089)

该漏洞允许未经身份验证的攻击者发送导致拒尽服务前提的特制数据包。该漏洞位于受影响设备的程序下载功能中,允许攻击者通过发送“ 执行命令列表 ”(CMD 0x0F,FNC 0×88)数据包而不使用“下载实现”( CMD 0x0F, FNC 0×52 )来强制设备进入故障状态( CMD 0x0F,FNC 0×52)。当出现这类情形时,设备会将此作为故障状态处理,进入非用户故障模式,从而导致设备休止正常操作并删除任何存储的逻辑。

3.SNMP 集处理不正确的举动顺序拒尽服务漏洞(TALOS-2017-0442 / CVE-2017-12090)

该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关,可能会允许经过身份验证的攻击者在受影响的设备上发生拒尽服务前提。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中终极命令关联的后续’snmp-set’命令,攻击者可以迫使该设备在重新启动过程中没法使用。

4.未经身份验证的数据/程序/功能文件走访控制漏洞不正确(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473)

该漏洞与受影响设备上的文件走访控制欠妥有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取以及写入操作,这可以用于从受影响的设备中检索敏感信息(包括设备主暗码)、修改设备配置或梯形图逻辑、或导致设备进入导致拒尽服务前提的故障状态。

5.内存模块存储程序文件写入漏洞(TALOS-2017-0444 / CVE-2017-12092)

该漏洞允许未经身份验证的遥程攻击者将在线程序写入受影响设备上已装置的内存模块。攻击者可以使用它来存储程序修改,直到设备重新启动后才能见效。随后,攻击者可以将新存储的程序与“加载内存模块的内存错误”配置结合使用来修改体系配置,黑客技术,从而导致启用的服务发生更改。

6.PLC 会话通讯资源池拒尽服务漏洞不足(TALOS-2017-0445 / CVE-2017-12093)

该漏洞存在于受影响设备的会话连接功能中,默认情形下,这些设备至多支持 10 个同时连接。一旦达到最大值,设备将停止最早的连接,以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包,以强制停止合法连接,并阻止对受影响设备确立额外的合法连接。

4、措施

目前,对类似曝出有高危漏洞的工控设备,我们一般采取下列措施:

1.将受影响设备升级到最新版本的固件,以便再也不受到这些漏洞的影响;

2.在工控设备前部署安全防护举措措施,以防止工控设备被攻击。

由于工业现场的特殊性,一般工控设备部署实现后,基本是处于长期稳定运行状态,一年仅会有半个月到一个月左右的检修停机时间,即使行使检修时间去对工控设备进行固件升级,也可能存在内部程序被革新或者被清空的危害,一旦生产控制程序被清空,那么其酿成的丧失以及恢复成本都是极大的,所以在现场进行固件升级的可行性比较小。

那么第二种方案,在工控设备前部署安全防护举措措施是目前比较可行的防护方案。通过在PLC前部署工业防火墙,来对PLC设备进行安全防护的功能,以下图所示:

image.png

图2 工业防火墙部署示意图

该方案也餍足《工业控制体系信息安全防护指南》以及《GB/T 22239-2008 信息体系安全等级维护基本请求》。

那么也许我们会考虑为什么不能部署传统的防火墙,传统防火墙以及工业防火墙的区分在那里呢?传统防火墙首要有下列局限性:

1.工业收集采用的专用工业协定,工业协定的类别很多,有基于工业以太网(基于二层以及三层)的协定,有基于串行链路(RS232、RS485)的协定,传统防火墙没法完全支持工业协定的白名单过滤。

2.传统防火墙没法对工业协定进行深度解析控制,针对背法指令无能为力。

3.一般部署在工业现场的防火墙以导轨式为主,同时对防火墙的环境适应性请求很高,产品往往请求无风扇、宽温支持等,传统防火墙没法适应工业严苛复杂的生产环境。

4.传统防火墙在出现自身逝世障时多采取阻断收集的方式,而工业现场则请求设备出现故障不能影响工业收集的正常通信。

工业防火墙行使工业协定深度包解析手艺,完成强盛的工业协定白名单功能,通过智能学习引擎,帮助客户识别、定义以及控制畅通流畅在工业现场中的合法指令,而对于未知的,无论是否对工业现场造成影响,都不允许其“穿墙而过”,防止未知威胁攻击,与工业现场请求的确定性以及可控性完全切合。

5、小结

虽然工业防火墙能够有用检测工控收集中的通讯异常以及协定异常,并加以阻止。可对控制设备进行协定级的只读防护,完成各生产线之间、各个工艺段之间的收集隔离、走访控制和专用工控协定的控制,避免PLC、DCS等被攻击造成重大生产变乱、人员伤亡以及社会影响。然则我们对总体体系的安全防护照样要通过系统化的思路去考虑,同时辅以安全治理思惟才能更好的维护工业现场的控制设备不被攻击。

*liujianshuai,

您可能还会对下面的文章感兴趣: