研究人员在北约网络安全大会上表示,他们构造的虚假工控系统捕获了四个 0day exploits。工控系统用于管理大量关键设备如化学处理设备、发电厂设备甚至是楼宇自动化如灭火系统。其中很多关键设备使用的是老旧的通信系统,认为这些设备和专有的安全网络连接。但如今很多设备在使用包括互联网在内的基于 IP 的网络进行通信,从而制造了潜在的大量安全问题。厂商或用户鲜少修复这些系统中的漏洞,而几乎没有工业协议会进行认证或加密,也就是说不管命令是谁发送的,这些协议都会信任其中大部分命令。研究人员指出,“这些因素导致易受攻击工业环境的存在并造成了独特的安全挑战。”为了分析这些 bug 对工业系统带来的安全威胁,研究人员使用了由120个互动频率高的蜜罐(虚假的工业基础设施)组成的网络,在22个国家模仿可编程逻辑控制器和远程终端单元进行测试。结果,在13个多月的时间里,共发现8万次和蜜罐的交互,其中多数是扫描活动;发现9次恶意利用工业协议的交互。虽然只有9次恶意利用,但其中4次攻击利用的是 0day exploits,即首次在野利用此前未识别的 PoC 攻击。这些攻击类型博阿凯拒绝服务和命令中继攻击。这些漏洞和相关 exploits 已告知设备制造商。研究人员指出,“虽然恶意攻击次数少,但影响较大,因为它们都是此前工控社区未知的、有技术的、针对性 exploits。”任职于 Industrial Defnica 公司同时也是该报告的作者之一 Mikael Vingaard 指出,截至目前,研究报告中使用的数据集是规模最大的,而所发现的 0day 漏洞数量也反映了这些蜜罐的可信程度。剑桥大学计算机科学技术学院的研究员 Michael Dodson 也是其中一名作者,他表示如果拒绝服务攻击针对的是一台真实设备而非蜜罐,那么会导致设备或者在攻击中完全关闭或者无法通过网络通信。他认为“如果你能够中继命令更改状态或写入 register,那么就能够完全控制设备的行为,从而控制它所控制的任意进程”。同时,这次研究也反映了令人沮丧的工控安全状况,一次蜜罐竟然出现了四次 0day 攻击。他认为,“当前关注工控设备安全的人少之又少,工控安全局势变化莫测,而大多数软件是专有的,因此你所发现的任意攻击在社区内可能都是‘新’攻击这一点丝毫不令人惊讶。”目前,这四个 0day 漏洞的详情并未公开。我们将持续关注事态发展。论文可见:
https://ccdcoe.org/uploads/2020/05/CyCon_2020_15_Dodson_Beresford_Vingaard.pdf
https://www.zdnet.com/article/security-four-zero-day-attacks-spotted-in-attacks-against-honeypot-systems/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~