|
日本網(wǎng)絡(luò)安全企業(yè)Nozomi Networks Labs 發(fā)現(xiàn)五個影響三菱安全 PLC 的漏洞�����,這些漏洞與 MELSOFT 通信協(xié)議的身份驗證實施有關(guān)���。 第一組漏洞于 2021 年 1 月通過 ICS-CERT 向供應(yīng)商披露�。目前�����,這些漏洞的尚無可用補丁����。供應(yīng)商提供一系列緩解措施,在相應(yīng)的建議中進(jìn)行了描述�����。考慮到漏洞的潛在影響��,Nozomi Networks Labs建議用戶仔細(xì)評估自身安全狀況并考慮應(yīng)用建議的緩解措施��。 因此���,目前Nozomi Networks Labs表示不會透露漏洞的技術(shù)細(xì)節(jié)��,也不會提供他們開發(fā)的 PoC(概念證明)來演示潛在的惡意攻擊����。出于對技術(shù)細(xì)節(jié)可能以某種形式披露的擔(dān)憂��,改為披露一般細(xì)節(jié)�����。這將使資產(chǎn)所有者沒有足夠的信息來評估他們的安全狀況并在潛在攻擊發(fā)生之前及時采取行動�����。 
2020 年底���,Nozomi Networks Labs 開始了 MELSOFT 的研究項目,MELSOFT 是三菱安全 PLC 和 GX Works3 使用的通信協(xié)議,相應(yīng)的工程工作站軟件���。他們將分析重點集中在身份驗證實施上���,因為他們注意到來自其他供應(yīng)商的類似 OT 產(chǎn)品在此攻擊面中包含漏洞。除了向供應(yīng)商披露漏洞外����,他們還主動與三菱分享了開發(fā)的 PoC 以及研究的所有技術(shù)細(xì)節(jié)。三菱分析了他們的發(fā)現(xiàn)���,并在承認(rèn)存在漏洞后�����,制定了修補問題的策略�。安全 PLC 或醫(yī)療設(shè)備等產(chǎn)品的軟件更新比其他軟件產(chǎn)品(例如您用來閱讀本博客的 Web 瀏覽器)需要更長的時間來部署�����。這是因為除了開發(fā)和測試補丁之外���,供應(yīng)商還需要遵守特定的認(rèn)證流程��。根據(jù)設(shè)備類型和監(jiān)管框架��,每個單獨的軟件更新可能需要認(rèn)證程序����。在等待補丁開發(fā)和部署過程完成的同時,為威脅情報服務(wù)的客戶部署了檢測邏輯�����。同時���,開始研究更通用的檢測策略�,以便與資產(chǎn)所有者和整個 ICS 安全社區(qū)共享�。發(fā)現(xiàn)的問題類型很可能會影響來自多個供應(yīng)商的 OT 協(xié)議的身份驗證����,希望幫助保護(hù)盡可能多的系統(tǒng)。普遍擔(dān)心的是��,資產(chǎn)所有者可能過度依賴固定在 OT 協(xié)議上的身份驗證方案的安全性���,而不知道這些實現(xiàn)的技術(shù)細(xì)節(jié)和故障模型�。出于同樣的原因,以下是對三菱安全 PLC 和 GX Works3 中發(fā)現(xiàn)的問題的一般描述�����。在這個階段�,不會專注于 MELSOFT 身份驗證的所有技術(shù)細(xì)節(jié),也不會描述開發(fā)的 PoC���。相反�����,提供的內(nèi)容應(yīng)該足以讓安全團(tuán)隊評估其自身環(huán)境的風(fēng)險���。首先����,攻擊者是有限的,只能與目標(biāo) PLC 交換數(shù)據(jù)包�����。其次�,除了交換數(shù)據(jù)包���,攻擊者還能夠嗅探工程工作站 (EWS) 和目標(biāo) PLC 之間的網(wǎng)絡(luò)流量。在的研究中����,他們分析了 TCP 端口 5007 上的 MELSOFT。身份驗證是通過用戶名/密碼對實現(xiàn)的�。在這個方案中,EWS 首先發(fā)送一個包含明文用戶名的數(shù)據(jù)包���,并接收來自 PLC 的回復(fù)��?�;貜?fù)包含一個字段�,用于與 EWS 通信用戶名是否對 PLC 有效���。如果用戶名有效��,EWS 將發(fā)送包含從一組元素生成的散列的第二個數(shù)據(jù)包。這些元素之一是明文密碼�。以下是我們發(fā)現(xiàn)的漏洞的高級描述。據(jù)我們所知�,已通過一系列緩解措施解決了用戶名以明文形式暴露在網(wǎng)絡(luò)上的問題��。相反����,試圖了解有效用戶名列表是否可以通過蠻力技術(shù)顯示出來��。為了驗證假設(shè)���,他們實施了一個 PoC��,結(jié)果是用戶名是有效的暴力破解�。攻擊者的限制因素是用戶名的最大長度��,即 20 個字符���。反密碼暴力破解功能導(dǎo)致賬戶鎖定機(jī)制過于嚴(yán)格一旦實現(xiàn)了 MELSOFT 原語以執(zhí)行成功的身份驗證��,就使用密碼暴力破解器擴(kuò)展初始 PoC�����,給定一個有效用戶�����,反復(fù)嘗試密碼組合���,直到找到正確的密碼組合�。幸運的是�,在這種情況下,有一個反蠻力機(jī)制可以有效地阻止攻擊者�。但是,該機(jī)制的實施過于嚴(yán)格��。它不僅阻止使用單個 IP 的潛在攻擊者�,還阻止來自任何 IP 的任何用戶在特定時間范圍內(nèi)登錄。這種設(shè)計的結(jié)果是�,如果攻擊者向 PLC 發(fā)送數(shù)量有限的密碼,足以觸發(fā)反暴力保護(hù)�,則有效地阻止所有具有合法憑據(jù)的用戶對設(shè)備進(jìn)行身份驗證。如果發(fā)生此類攻擊�����,資產(chǎn)所有者有兩種選擇:他們發(fā)現(xiàn)了兩個來自明文密碼的秘密在數(shù)據(jù)包中泄露的實例?�?梢宰x取此類數(shù)據(jù)包的攻擊者將能夠獲取此秘密并使用它成功通過 PLC 進(jìn)行身份驗證���。由于實現(xiàn)身份驗證的方式���,此密鑰在功能上等同于明文密碼。實現(xiàn)了一個 PoC��,使用這個秘密執(zhí)行成功的身份驗證�����,而不是使用明文密碼���。目前正在討論有關(guān)如何管理會話的另一個漏洞�。建議資產(chǎn)所有者遵循本文中的緩解措施以及供應(yīng)商針對前述漏洞提出的緩解措施���。如果將一些已識別的漏洞鏈接在一起����,就會出現(xiàn)幾種攻擊場景。了解這種方法很重要���,因為現(xiàn)實世界的攻擊通常是通過利用多個漏洞來實現(xiàn)最終目標(biāo)來執(zhí)行的����。在這種情況下�,攻擊者可以通過分析工程工作站和安全 PLC 之間的活動會話來開始其活動。通過這種分析�����,攻擊者可以了解如何復(fù)制特權(quán)命令��,然后在攻擊者認(rèn)為被注意到的可能性最小的時候選擇合適的時機(jī)繼續(xù)進(jìn)行惡意活動��。然后攻擊者會向 PLC 詢問注冊用戶的列表�����?����;貜?fù)還將包含每個注冊用戶的密碼等效秘密。下一階段可以在最能達(dá)到最大影響的時候進(jìn)行���。攻擊者現(xiàn)在可以使用真實憑據(jù)登錄并更改安全 PLC 邏輯��。然后攻擊者可以啟動密碼暴力攻擊,將所有人鎖定在 PLC 之外�。當(dāng)工程師試圖通過工程工作站重新訪問 PLC 時,為時已晚就無法登錄了��,除非他們首先阻止密碼暴力數(shù)據(jù)包到達(dá) PLC�����。 |
