|
日本網(wǎng)絡(luò)安全企業(yè)Nozomi Networks Labs 發(fā)現(xiàn)五個(gè)影響三菱安全 PLC 的漏洞���,這些漏洞與 MELSOFT 通信協(xié)議的身份驗(yàn)證實(shí)施有關(guān)���。 第一組漏洞于 2021 年 1 月通過 ICS-CERT 向供應(yīng)商披露。目前���,這些漏洞的尚無可用補(bǔ)丁�����。供應(yīng)商提供一系列緩解措施����,在相應(yīng)的建議中進(jìn)行了描述�?��?紤]到漏洞的潛在影響,Nozomi Networks Labs建議用戶仔細(xì)評(píng)估自身安全狀況并考慮應(yīng)用建議的緩解措施�。 因此,目前Nozomi Networks Labs表示不會(huì)透露漏洞的技術(shù)細(xì)節(jié)�����,也不會(huì)提供他們開發(fā)的 PoC(概念證明)來演示潛在的惡意攻擊����。出于對(duì)技術(shù)細(xì)節(jié)可能以某種形式披露的擔(dān)憂,改為披露一般細(xì)節(jié)���。這將使資產(chǎn)所有者沒有足夠的信息來評(píng)估他們的安全狀況并在潛在攻擊發(fā)生之前及時(shí)采取行動(dòng)����。 
2020 年底��,Nozomi Networks Labs 開始了 MELSOFT 的研究項(xiàng)目����,MELSOFT 是三菱安全 PLC 和 GX Works3 使用的通信協(xié)議�,相應(yīng)的工程工作站軟件���。他們將分析重點(diǎn)集中在身份驗(yàn)證實(shí)施上,因?yàn)樗麄冏⒁獾絹碜云渌?yīng)商的類似 OT 產(chǎn)品在此攻擊面中包含漏洞��。除了向供應(yīng)商披露漏洞外�����,他們還主動(dòng)與三菱分享了開發(fā)的 PoC 以及研究的所有技術(shù)細(xì)節(jié)����。三菱分析了他們的發(fā)現(xiàn),并在承認(rèn)存在漏洞后���,制定了修補(bǔ)問題的策略���。安全 PLC 或醫(yī)療設(shè)備等產(chǎn)品的軟件更新比其他軟件產(chǎn)品(例如您用來閱讀本博客的 Web 瀏覽器)需要更長(zhǎng)的時(shí)間來部署。這是因?yàn)槌碎_發(fā)和測(cè)試補(bǔ)丁之外��,供應(yīng)商還需要遵守特定的認(rèn)證流程���。根據(jù)設(shè)備類型和監(jiān)管框架����,每個(gè)單獨(dú)的軟件更新可能需要認(rèn)證程序。在等待補(bǔ)丁開發(fā)和部署過程完成的同時(shí)���,為威脅情報(bào)服務(wù)的客戶部署了檢測(cè)邏輯�����。同時(shí)�����,開始研究更通用的檢測(cè)策略�����,以便與資產(chǎn)所有者和整個(gè) ICS 安全社區(qū)共享�����。發(fā)現(xiàn)的問題類型很可能會(huì)影響來自多個(gè)供應(yīng)商的 OT 協(xié)議的身份驗(yàn)證��,希望幫助保護(hù)盡可能多的系統(tǒng)。普遍擔(dān)心的是���,資產(chǎn)所有者可能過度依賴固定在 OT 協(xié)議上的身份驗(yàn)證方案的安全性���,而不知道這些實(shí)現(xiàn)的技術(shù)細(xì)節(jié)和故障模型�����。出于同樣的原因����,以下是對(duì)三菱安全 PLC 和 GX Works3 中發(fā)現(xiàn)的問題的一般描述����。在這個(gè)階段,不會(huì)專注于 MELSOFT 身份驗(yàn)證的所有技術(shù)細(xì)節(jié)���,也不會(huì)描述開發(fā)的 PoC�����。相反�����,提供的內(nèi)容應(yīng)該足以讓安全團(tuán)隊(duì)評(píng)估其自身環(huán)境的風(fēng)險(xiǎn)��。首先�,攻擊者是有限的,只能與目標(biāo) PLC 交換數(shù)據(jù)包�����。其次�����,除了交換數(shù)據(jù)包����,攻擊者還能夠嗅探工程工作站 (EWS) 和目標(biāo) PLC 之間的網(wǎng)絡(luò)流量。在的研究中�,他們分析了 TCP 端口 5007 上的 MELSOFT。身份驗(yàn)證是通過用戶名/密碼對(duì)實(shí)現(xiàn)的���。在這個(gè)方案中�����,EWS 首先發(fā)送一個(gè)包含明文用戶名的數(shù)據(jù)包����,并接收來自 PLC 的回復(fù)����。回復(fù)包含一個(gè)字段����,用于與 EWS 通信用戶名是否對(duì) PLC 有效。如果用戶名有效�,EWS 將發(fā)送包含從一組元素生成的散列的第二個(gè)數(shù)據(jù)包。這些元素之一是明文密碼�。以下是我們發(fā)現(xiàn)的漏洞的高級(jí)描述。據(jù)我們所知�,已通過一系列緩解措施解決了用戶名以明文形式暴露在網(wǎng)絡(luò)上的問題。相反�,試圖了解有效用戶名列表是否可以通過蠻力技術(shù)顯示出來。為了驗(yàn)證假設(shè)�����,他們實(shí)施了一個(gè) PoC�����,結(jié)果是用戶名是有效的暴力破解。攻擊者的限制因素是用戶名的最大長(zhǎng)度�,即 20 個(gè)字符。反密碼暴力破解功能導(dǎo)致賬戶鎖定機(jī)制過于嚴(yán)格一旦實(shí)現(xiàn)了 MELSOFT 原語(yǔ)以執(zhí)行成功的身份驗(yàn)證����,就使用密碼暴力破解器擴(kuò)展初始 PoC,給定一個(gè)有效用戶����,反復(fù)嘗試密碼組合,直到找到正確的密碼組合�����。幸運(yùn)的是���,在這種情況下���,有一個(gè)反蠻力機(jī)制可以有效地阻止攻擊者。但是�,該機(jī)制的實(shí)施過于嚴(yán)格。它不僅阻止使用單個(gè) IP 的潛在攻擊者����,還阻止來自任何 IP 的任何用戶在特定時(shí)間范圍內(nèi)登錄。這種設(shè)計(jì)的結(jié)果是,如果攻擊者向 PLC 發(fā)送數(shù)量有限的密碼���,足以觸發(fā)反暴力保護(hù)�����,則有效地阻止所有具有合法憑據(jù)的用戶對(duì)設(shè)備進(jìn)行身份驗(yàn)證。如果發(fā)生此類攻擊��,資產(chǎn)所有者有兩種選擇:他們發(fā)現(xiàn)了兩個(gè)來自明文密碼的秘密在數(shù)據(jù)包中泄露的實(shí)例��??梢宰x取此類數(shù)據(jù)包的攻擊者將能夠獲取此秘密并使用它成功通過 PLC 進(jìn)行身份驗(yàn)證。由于實(shí)現(xiàn)身份驗(yàn)證的方式����,此密鑰在功能上等同于明文密碼��。實(shí)現(xiàn)了一個(gè) PoC�,使用這個(gè)秘密執(zhí)行成功的身份驗(yàn)證�,而不是使用明文密碼。目前正在討論有關(guān)如何管理會(huì)話的另一個(gè)漏洞���。建議資產(chǎn)所有者遵循本文中的緩解措施以及供應(yīng)商針對(duì)前述漏洞提出的緩解措施����。通過將多個(gè)漏洞鏈接在一起來設(shè)計(jì)攻擊場(chǎng)景如果將一些已識(shí)別的漏洞鏈接在一起�����,就會(huì)出現(xiàn)幾種攻擊場(chǎng)景���。了解這種方法很重要�����,因?yàn)楝F(xiàn)實(shí)世界的攻擊通常是通過利用多個(gè)漏洞來實(shí)現(xiàn)最終目標(biāo)來執(zhí)行的����。在這種情況下,攻擊者可以通過分析工程工作站和安全 PLC 之間的活動(dòng)會(huì)話來開始其活動(dòng)�����。通過這種分析�,攻擊者可以了解如何復(fù)制特權(quán)命令,然后在攻擊者認(rèn)為被注意到的可能性最小的時(shí)候選擇合適的時(shí)機(jī)繼續(xù)進(jìn)行惡意活動(dòng)����。然后攻擊者會(huì)向 PLC 詢問注冊(cè)用戶的列表�。回復(fù)還將包含每個(gè)注冊(cè)用戶的密碼等效秘密�。下一階段可以在最能達(dá)到最大影響的時(shí)候進(jìn)行。攻擊者現(xiàn)在可以使用真實(shí)憑據(jù)登錄并更改安全 PLC 邏輯�����。然后攻擊者可以啟動(dòng)密碼暴力攻擊��,將所有人鎖定在 PLC 之外����。當(dāng)工程師試圖通過工程工作站重新訪問 PLC 時(shí),為時(shí)已晚就無法登錄了�����,除非他們首先阻止密碼暴力數(shù)據(jù)包到達(dá) PLC。 |
