近年來,,隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)環(huán)境變得更加開放與多變,,工業(yè)控制系統(tǒng)則相對(duì)變得更加脆弱,,工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多,暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足,。工業(yè)控制系統(tǒng)的安全性面臨巨大的挑戰(zhàn),。僅僅2018年,就爆發(fā)了多次工控安全事件,。我們僅以其中比較有代表性的八次典型工控安全事件為例,,以此正視工業(yè)控制系統(tǒng)所面臨的安全威脅。
1,、羅克韋爾工控設(shè)備曝多項(xiàng)嚴(yán)重漏洞
2018年3月,,思科Talos安全研究團(tuán)隊(duì)發(fā)文指出羅克韋爾自動(dòng)化公司的 Allen-Bradley MicroLogix 1400系列PLC中存在多項(xiàng)嚴(yán)重安全漏洞,這些漏洞可用來發(fā)起拒絕服務(wù)攻擊,、篡改設(shè)備的配置和梯形邏輯,、寫入或刪除內(nèi)存模塊上的數(shù)據(jù)等。該系列可編程邏輯控制器被各關(guān)鍵基礎(chǔ)設(shè)施部門廣泛運(yùn)用于工業(yè)控制系統(tǒng)的執(zhí)行過程控制,,一旦被利用將會(huì)導(dǎo)致嚴(yán)重的損害,。思科Talos團(tuán)隊(duì)建議使用受影響設(shè)備的組織機(jī)構(gòu)將固件升級(jí)到最新版本,并盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)直接暴露在互聯(lián)網(wǎng)中,。
2,、俄黑客對(duì)美國核電站和供水設(shè)施攻擊事件
2018年3月,美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A,,詳細(xì)描述了俄羅斯黑客針對(duì)美國某發(fā)電廠的網(wǎng)絡(luò)攻擊事件,。通告稱俄黑客組織通過(1)收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼;(2)盜用合法賬號(hào)發(fā)送魚叉式釣魚電子郵件,;(3)在受信任網(wǎng)站插入Java或PHP代碼進(jìn)行水坑攻擊,;(4)利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息;(5)構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊,。本次攻擊的主要目的是以收集情報(bào)為主,,攻擊者植入了收集信息的程序,該程序捕獲屏幕截圖,,記錄有關(guān)計(jì)算機(jī)的詳細(xì)信息,,并在該計(jì)算機(jī)上保存有關(guān)用戶帳戶的信息。此安全事件告誡我們:加強(qiáng)員工安全意識(shí)教育和管理是十分必要的,,如密碼定期更換且不復(fù)用,,安裝防病毒軟件并確保及時(shí)更新等。
3,、俄羅斯黑客入侵美國電網(wǎng)
2018年7月,,一位美國國土安全部官員稱:“我們跟蹤到一個(gè)行蹤隱秘的俄羅斯黑客,該人有可能為政府資助組織工作,。他先是侵入了主要供應(yīng)商的網(wǎng)絡(luò),,并利用前者與電力公司建立的信任關(guān)系輕松侵入到電力公司的安全網(wǎng)絡(luò)系統(tǒng),。”
11月30日,,火眼的分析員Alex Orleans指出“目前仍然有瞄準(zhǔn)美國電網(wǎng)的俄羅斯網(wǎng)絡(luò)間諜活動(dòng),,電網(wǎng)仍然會(huì)遭受到不斷的攻擊”,火眼(FireEye)已經(jīng)識(shí)別出一組俄羅斯網(wǎng)絡(luò)集團(tuán)通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進(jìn)行試探和攻擊,。這組黑客依賴于現(xiàn)成黑客工具和自制后門技術(shù)的組合,,盡管美國的電網(wǎng)已經(jīng)通過NERC發(fā)布的一系列CIP 標(biāo)準(zhǔn)增強(qiáng)了網(wǎng)絡(luò)防御能力。但是并不是每一處的電網(wǎng)組成設(shè)施都固若金湯,,比如部分承包給本地企業(yè)的地方電網(wǎng)的網(wǎng)絡(luò)防御能力就非常差,,這留給了來自俄羅斯(包括伊朗和朝鮮)的網(wǎng)絡(luò)黑客們可乘之機(jī)。
與中國情況不同,,美國的電網(wǎng)是由很多獨(dú)立的企業(yè)管控,,在安全性、可控性方面比較弱,。入侵者攻擊該系統(tǒng)不受保護(hù)的弱點(diǎn),,而數(shù)以百計(jì)的承包商和分包商毫無防備。所以連美國官方都無法統(tǒng)計(jì)有多少企業(yè)和供應(yīng)商被攻擊并蒙受損失,。
4,、臺(tái)積電遭勒索病毒入侵,致三個(gè)生產(chǎn)基地停擺
8月3日晚間,,臺(tái)積電位于臺(tái)灣新竹科學(xué)園區(qū)的12英寸晶圓廠和營運(yùn)總部的部分生產(chǎn)設(shè)備受到魔窟勒索病毒W(wǎng)annaCry勒索病毒的一個(gè)變種感染,具體現(xiàn)象是電腦藍(lán)屏,,鎖各類文檔,、數(shù)據(jù)庫,設(shè)備宕機(jī)或重復(fù)開機(jī),。幾個(gè)小時(shí)之內(nèi),,臺(tái)積電位于臺(tái)中科學(xué)園區(qū)的Fab 15廠,以及臺(tái)南科學(xué)園區(qū)的Fab 14廠也陸續(xù)被感染,,這代表臺(tái)積電在臺(tái)灣北,、中、南三處重要生產(chǎn)基地,,同步因?yàn)椴《救肭侄鴮?dǎo)致生產(chǎn)線停擺,。經(jīng)過應(yīng)急處置,截止8月5日下午2點(diǎn),,該公司約80%受影響設(shè)備恢復(fù)正常,,至8月6日下午,生產(chǎn)線已經(jīng)全部恢復(fù)生產(chǎn),。損失高達(dá)26億,。
此次事件原因是員工在安裝新設(shè)備的過程時(shí),,沒有事先做好隔離和離線安全檢查工作,導(dǎo)致新設(shè)備連接到公司內(nèi)部網(wǎng)絡(luò)后,,病毒快速傳播,,并最終影響整個(gè)生產(chǎn)線。
5,、西門子PLC,、SCADA等工控系統(tǒng)曝兩個(gè)高危漏洞
8月7日,西門子發(fā)布官方公告稱,,其用于SIMATIC STEP7和SIMATIC WinCC產(chǎn)品的TIA Portal(Totally Integrated Automation Portal全集成自動(dòng)化門戶)軟件存在兩個(gè)高危漏洞(CVE-2018-11453和CVE-2018-11454),。影響范圍包括兩款產(chǎn)品V10、V11,、V12,、V13的所有版本,以及V14中小于SP1 Update 6和V15中小于Update 2的版本,。TIA Portal是西門子的一款可讓企業(yè)不受限制地訪問公司自動(dòng)化服務(wù)的軟件,。由于TIA Portal廣泛適用于西門子PLC(如S7-1200、S7-300/400,、S7-1500等),、SCADA等工控系統(tǒng),以上兩個(gè)漏洞將對(duì)基于西門子產(chǎn)品的工業(yè)控制系統(tǒng)環(huán)境造成重大風(fēng)險(xiǎn),。據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測發(fā)現(xiàn),,我國可能受到該漏洞影響的聯(lián)網(wǎng)西門子STEP 7、Wincc產(chǎn)品達(dá)138個(gè),。
本次發(fā)現(xiàn)的兩個(gè)高危漏洞中,,CVE-2018-11453可讓攻擊者在得到訪問本地文件系統(tǒng)的權(quán)限后,通過插入特制文件實(shí)現(xiàn)對(duì)TIA Portal的拒絕服務(wù)攻擊或執(zhí)行任意代碼,;CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯(cuò)誤文件權(quán)限配置,,操縱目錄內(nèi)的資源(如添加惡意負(fù)載等),并在該資源被合法用戶發(fā)送到目標(biāo)設(shè)備后實(shí)現(xiàn)遠(yuǎn)程控制,。
6,、Rockwell(羅克韋爾自動(dòng)化有限公司)和ICS-CERT發(fā)布通報(bào)
2018年9月,Rockwell(羅克韋爾自動(dòng)化有限公司)和ICS-CERT發(fā)布通報(bào)稱,, Rockwell的RSLinx Classic軟件存在三個(gè)高危漏洞(CVE-2018-14829,、CVE-2018-14821和CVE-2018-14827),影響范圍包括RSLinx Classic 4.00.01及之前版本,,一旦被成功利用可能實(shí)現(xiàn)任意代碼執(zhí)行甚至導(dǎo)致設(shè)備系統(tǒng)崩潰,。
RSLinx Classic是一款Rockwell開發(fā)的專用工業(yè)軟件,用于實(shí)現(xiàn)對(duì)Rockwell相關(guān)設(shè)備、網(wǎng)絡(luò)產(chǎn)品的統(tǒng)一配置管理,,具有數(shù)據(jù)采集,、控制器編程、人機(jī)交互等功能,,廣泛應(yīng)用于能源,、制造、污水處理等領(lǐng)域,。
這三個(gè)高危漏洞的利用方式都是通過44818端口進(jìn)行遠(yuǎn)程攻擊或破壞,,其中CVE-2018-14829為基于棧的緩沖區(qū)溢出漏洞,攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包,,實(shí)現(xiàn)在主機(jī)上的任意代碼執(zhí)行,、讀取敏感信息或?qū)е孪到y(tǒng)崩潰等;CVE-2018-14821為基于堆的緩沖區(qū)溢出漏洞,,攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包,,導(dǎo)致應(yīng)用程序終止運(yùn)行;CVE-2018-14827為資源耗盡漏洞,,攻擊者可以通過發(fā)送特制的Ethernet/IP數(shù)據(jù)包,,導(dǎo)致應(yīng)用程序崩潰。
7,、意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊
12月10日,,意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊,主要影響了其在中東的服務(wù)器,,包括沙特阿拉伯,、阿拉伯聯(lián)合酋長國和科威特,造成公司10%的主機(jī)數(shù)據(jù)被破壞,。Saipem發(fā)布公告證實(shí)此次網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)资荢hamoon惡意軟件的變種,。
公告顯示,Shamoon惡意軟件襲擊了該公司在中東,,印度等地的服務(wù)器,導(dǎo)致數(shù)據(jù)和基礎(chǔ)設(shè)施受損,,公司通過備份緩慢的恢復(fù)數(shù)據(jù),,沒有造成數(shù)據(jù)丟失,此次攻擊來自印度金奈,,但攻擊者的身份尚不明確,。
Shamoon主要“功能”為擦除主機(jī)數(shù)據(jù),并向受害者展示一條消息,,通常與政治有關(guān),,另外Shamoon還包括一個(gè)功能完備的勒索軟件模塊擦拭功能。攻擊者獲取被感染計(jì)算機(jī)網(wǎng)絡(luò)的管理員憑證后,利用管理憑證在組織內(nèi)廣泛傳播擦除器,。然后在預(yù)定的日期激活磁盤擦除器,,擦除主機(jī)數(shù)據(jù)。
8,、施耐德聯(lián)合ICS-CERT發(fā)布高危漏洞
2018年12月,,施耐德電氣有限公司(Schneider Electric SA)和CNCERT下屬的工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心ICS-CERT發(fā)布通報(bào)稱,Modicon M221全系PLC存在數(shù)據(jù)真實(shí)性驗(yàn)證不足高危漏洞(CVE-2018-7798),,一旦被成功利用可遠(yuǎn)程更改PLC的IPv4配置致使通信異常,。
Modicon M221全系PLC是施耐德電氣有限公司所設(shè)計(jì)的可編程邏輯控制器,可通過以太網(wǎng)和Modbus協(xié)議進(jìn)行網(wǎng)絡(luò)通訊,。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS協(xié)議的網(wǎng)絡(luò)配置模塊實(shí)現(xiàn)不合理,,未對(duì)數(shù)據(jù)真實(shí)性進(jìn)行充分驗(yàn)證,導(dǎo)致攻擊者可遠(yuǎn)程更改IPv4配置參數(shù),,例如IP地址,、子網(wǎng)掩碼和網(wǎng)關(guān)等,從而攔截目標(biāo)PLC的網(wǎng)絡(luò)流量,。
縱觀整個(gè)2018年,,各類威脅數(shù)據(jù)持續(xù)上升。但是幸運(yùn)的是,,政產(chǎn)學(xué)研各界已經(jīng)紛紛意識(shí)到工控系統(tǒng)網(wǎng)絡(luò)安全的重要性,,并采取措施加強(qiáng)預(yù)警,爭取防患于未然,。工業(yè)互聯(lián)網(wǎng)在國內(nèi)的推進(jìn)無論從國家政策層面還是企業(yè)實(shí)際落地層面都得到了積極的重視,,而對(duì)工業(yè)互聯(lián)網(wǎng)的信息安全保障也是一樣的,伴隨著國家“互聯(lián)網(wǎng)+制造業(yè)”等政策的不斷推進(jìn)落實(shí),,工業(yè)互聯(lián)網(wǎng)的推進(jìn)速度必將不斷加快,,工控安全行業(yè)任重而道遠(yuǎn)。