Triton 恶意软件利用施耐德设备中的 0day 漏洞发动攻击

翻译：360代码卫士团队

近出现的恶意软件 Triton 或 Trisis 利用施耐德电气 Triconex 安全仪表系统 (SIS) 控制器中的一个 0day 漏洞攻击一家基础设施组织机构。

Triton 旨在攻击工控系统，因导致中东的一家组织机构被迫关闭而为人所知。火眼公司和 Dragos 都发布报告详述了该恶意软件的情况。Triton 旨在攻击施耐德电气 Triconex SIS 设备。该设备用于监控进程状态，当相关参数显示进程处于危险状态时它会恢复至安全状态或将其安全地关闭。Triton 通过 TriStation 专门协议和 SIS 控制器交互，包括读写程序和函数。

施耐德公司最初认为 Triton 并未利用产品中的任何漏洞，不过现在开始通知用户称 Triton 实际上利用了 Triconex Tricon 系统老旧版本中的一个缺陷。

施耐德公司表示该缺陷仅影响少量老旧版本并将于未来几周内推出补丁。该公司还计划于下个月推出一款工具，检测恶意软件是否存在于控制器上并在检测到时将其删除。

施耐德公司强调称，尽管漏洞存在但如果目标组织机构遵照最佳实践并实现安全程序的话，本来不会遭受攻击。

具体来讲，Triton 恶意软件只有在 SIS 设备设置为 PROGRAM 状态的情况下才能将其攻陷。施耐德公司建议称，如果控制器未被主动配置的话，不能让控制器处于这个状态。如果目标关键基础设施组织机构采纳了这条建议，那么恶意软件本来无法攻陷设备，即使漏洞存在也不例外。施耐德表示该漏洞只是一个复杂攻击场景中的一个元素。

施耐德表示自己的产品按设计运作，当检测到存在危险情况时会关闭系统，消费者或环境并未造成损害。施耐德在安全公告中告知消费者称，Triton 能够扫描并映射系统。该公司表示，“这款恶意软件具有扫描和映射工控系统并向 Tricon 控制器提供侦察和发布命令的能力。被部署后，这种恶意软件即远程可访问木马就会通过远程网络连接控制系统。”

施耐德电气公司建议消费者按照 Triconex 文档中“安全考虑”章节中的指导行动。指导手册建议称，当设备被设置为 PROGRAM 模式后，将控制器保持在锁柜中，即使显示告警信息也不例外。

虽然目前尚不清楚攻击者是谁，但研究人员认为鉴于攻击的复杂度，国家黑客可能参与了攻击。工业网络安全和威胁情报公司 CyberX 认为，从分析 Triton 的结果来看，它可能是由伊朗黑客开发的，遭攻击的组织机构位于沙特阿拉伯。

伊朗黑客被指利用 TRITON 攻击沙特阿拉伯关键基础设施

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接:

http://www.securityweek.com/triton-malware-exploited-zero-day-schneider-electric-devices