美国国土安全部ICS-CERT本周发布了关于工业控制系统(简称ICS)的三项安全公告,再次强调基础设施与工业网络当前所面临的严重安全威胁。
在 近 篇汇总ICS当前威胁形势的博文当中,Fortinet公司的Ruchna Nigam强调指出:“大多数工业控制系统来自不同供应商且运行着专有操作系统、应用程序以及协议(包括通用电气、罗克韦尔、DNP3以及Modbus)。结果就是,基于主机且面向IT部门开发的安全方案几乎根本不适用于ICS。”
这无疑使得ICS的安全性更为薄弱,而且需要完全由供应商负责找到并解决安全漏洞。此次发布的三项公告所援引的全部已发现漏洞皆由供应商独立识别并报告——然而,我们却很难验证其修复手段是否真正解决了问题。
近曾发现罗克韦尔IAB安全漏洞的Ivan Sanchez对此感到相当震惊。在日常工作当中,他不断搜索并发现新的ICS安全漏洞。就在去年,他发布报告指出,单是罗克韦尔公司 家的产品就存在超 过150项风险问题。 般来讲,在报告相关问题之后,相关企业都会向他做出进 步咨询。
“在95%的情况下,企业会请求我重新进行测试,然后再发布 终公告意见,”Sanchez在接受采访时指出。“我认为企业应当询问相关安全漏洞的具体细节,而非对只对当前发现的问题表示‘感谢’。”
公告ICSA- 16-056-01描述了罗克韦尔自动化公司旗下集成化架构构建工具(简称IAB)应用中的 项内存访问冲突错误。 旦被成功利用,其将允许攻击者以等同 于IAB工具的权限执行恶意代码。其只能由本地用户加以利用,而且目前已经得到修复。不过在安装 新版本之前,仍然建议用户避免利用IAB.exe打开任 何非受信项目文件;另外,应以‘用户’角色运行全部软件,而非以‘管理员’角色运行。
公告ICSA-16-061-03描述了 项基于cookie的安全漏洞,其允许远程攻击者通过EG2 Web Control对Eaton Lighting Systems进行配置。Eaton方面已经修复了这项漏洞,但仍需时间将其推广至全部系统当中。
公告ICSA-16-096-01描述了Pro-face旗下GP-Pro EX HMI软件中的四项安全漏洞:其 导致信息泄露,两项属于缓冲区溢出,另 项则为硬编码凭证问题。目前四项漏洞皆已得到修复。
系列强有力的证据表明,目前ICS安全问题要远比Fortinet博文中的陈述更加可怕。
事实上,Ivan Sanchez在采访中表示,“ICS业界必须改进自身代码质量并引入安全与审计控制机制。我已经对三成已经发现的问题进行了公布,而该行业还没有充足的时间将其全部修复——因此我得说,这 对是个大麻烦。”
尽管问题的客观性已经成为共识,但就目前而言其很大程度上仍只是种潜在问题。
《化工设施安全新闻》作者Patrick Coyle解释称,“ 方面,几乎每 套控制系统当中都存在着大量安全漏洞,我们需要对其认真评估并阻止 切将其作为目标的入侵活动。而在另 方面,这些 ICS控制系统实在太过复杂,组织起有效的进攻方案需要 为丰富的ICS相关专业知识。”
他预计未来攻击活动将持续增加,但这种增加主要体现在质量而非数量层面。“我认为我们将看到更多指向ICS的低效攻击行为。正如Verizon报告的水力系统入侵事件 样,攻击者仅仅是随意修改了设定值,但其很快被发现,而安全系统或警报操作员则轻松解决了问题。”事实上,那些蓄谋已久的恶意活动才 为可怕。
不过他提醒称,“我 担心的问题在于, 部分恶意人士可能会利用勒索软件锁定关键性基础设施。这并不需要什么高深的专业知识,只要能够侵入该系统即可。”