工控安全遭嚴峻挑戰,56個嚴重漏洞席捲OT 裝置
據The Hacker News訊息,安全研究人員在10家OT供應商的產品中發現56個嚴重的安全漏洞。Forescout將這56期報告統稱為“OT:ICEFALL”,這些漏洞也被安全研究人員稱之為“不安全的設計實踐”。
OT:ICEFALL(冰瀑)漏洞涵蓋來自 Bently Nevada、Emerson、Honeywell、JTEKT、Motorola、Omron、Phoenix Contact、Siemens 和 Yokogawa 的多達 26 種裝置型號。
報告指出,利用這些漏洞,具有網路訪問許可權的攻擊者可對目標裝置發起遠端執行程式碼攻擊,更改 OT 裝置的邏輯、檔案或韌體,繞過身份驗證,破壞憑據,導致拒絕服務或產生各種運營影響。
考慮到受影響的產品廣泛應用於石油和天然氣、化學、核能、發電和配電、製造、水處理和配電、採礦和樓宇自動化等關鍵基礎設施行業,這些漏洞一旦被攻擊者大規模利用,很有可能會對社會造成災難性後果。
在已經發現的 56 個漏洞中,38% 允許破壞憑據,21% 允許韌體操作,14% 允許遠端程式碼執行,8% 的漏洞允許篡改配置資訊。攻擊者還可以利用這些弱點使裝置完全離線並繞過現有的身份驗證功能,來呼叫目標上的任何功能。
值得注意的是,56個漏洞中有22個是“破壞身份驗證方案”,包括繞過、使用有風險的加密協議,硬編碼和明文憑證,這意味著這些方案在實施時“安全控制明顯不足”。
在現實世界裡,這些漏洞很有可能被武器化,並大規模在、天然氣管道、風力渦輪機或離散製造裝配線等領域應用,以擾亂燃料運輸、超越安全設定、停止控制壓縮機站的能力以及改變可程式設計邏輯的功能控制器(PLC)等。
這並非杞人憂天。事實上一個影響Omron NJ/NX控制器的遠端程式碼執行漏洞 (CVE-2022-31206) ,已經被一個名為CHERNOVITE的攻擊者利用,並針對性開發一種名為 PIPEDREAM(又名 INCONTROLLER)的惡意軟體。
另外,IT 和 OT 網路之間日益增加的連線也讓風險管理變的更加複雜,再加上這些漏洞沒有CVE編號,使得很多安全問題變的不可見,也讓這些不安全的漏洞長時間保留在系統和裝置中。
為了減輕 OT:ICEFALL 的影響,安全專家建議發現和清點易受攻擊的裝置,及時更新應用供應商特定的補丁,強制分割 OT 資產,監控網路流量以發現異常活動,並採購設計安全的產品加強供應鏈。
安全研究人員還表示,就最近針對關鍵基礎設施的惡意軟體(如Industroyer2、Triton和INCONTROLLER )來看,攻擊者已經意識到工控上存在大量的不安全設計,並準備利用這些漏洞對基礎設施發起攻擊。
儘管不斷強化的安全標準在驅動OT安全方面發揮了重要的作用,但就OT:ICEFALL漏洞來看,具有不安全設計特性和安全防禦能力低下的裝置和產品,正在持續獲得認證並投入到市場上使用。
參考來源:http://thehackernews.com/2022/06/researchers-disclose-56-vulnerabilities.html
- 一種新型攻擊技術出現,可將PLC武器化
- Realtek爆出關鍵漏洞,影響多款網路裝置
- macOS上的漏洞可能讓攻擊者訪問Mac上的所有檔案
- 新的 PyPI 包提供無檔案 Linux 惡意軟體
- Black Hat 2022公佈14大研究新發現
- 竟然不設密碼!調查發現全球超9000臺VNC 伺服器存暴露風險
- 美國製裁加密貨幣混合,Tornado Cash員工遭逮捕
- 因收集Android 位置資料,Google被罰六千萬美元
- Redis未授權漏洞蜜罐模擬與捕獲分析
- 銀行木馬SOVA捲土重來,或可發起勒索攻擊
- 涉及金額5.4億美元,網路犯罪分子正通過 RenBridge 跨鏈平臺洗錢
- 記錄虎符杯線下決賽flask反序列化及patch思路
- Sophos:首次發現三個勒索軟體連續攻擊同一個網路
- 思科證實被勒索攻擊,洩露資料2.8GB
- CISA警告Windows和UnRAR漏洞在野被利用
- LyScript:一款x64dbg自動化除錯外掛
- 警惕!黑客正在從分類資訊網站上竊取信用卡
- PyPI中發現新惡意Python庫
- 關於委託“FreeBuf”調研成都網路安全企業的情況說明
- Forrester安全分析平臺報告出爐,360領跑國內安全運營市場