知名工業(yè)網(wǎng)絡(luò)安全公司Claroty當(dāng)?shù)貢r(shí)間7月21日發(fā)布的研究報(bào)告稱，其Team82團(tuán)隊(duì)研究了用于監(jiān)控和配置工業(yè)控制系統(tǒng)(ICS)的基于云的管理平臺(tái)的可利用性。工業(yè)控制系統(tǒng)(ICS)采用云計(jì)算的勢(shì)頭是不可否認(rèn)的，這促使Team82去檢查這些平臺(tái)和架構(gòu)的安全性。Team82通過(guò)兩個(gè)獨(dú)特的攻擊向量開(kāi)發(fā)了利用自動(dòng)化供應(yīng)商CODESYS自動(dòng)化服務(wù)器漏洞的技術(shù)。該研究還包括在WAGO PLC平臺(tái)中發(fā)現(xiàn)漏洞，并開(kāi)發(fā)一個(gè)復(fù)雜的攻擊鏈，以攻擊單個(gè)云管理的PLC，并最終接管基于云的主機(jī)帳戶。CODESYS和WAGO已修復(fù)了Team82發(fā)現(xiàn)和披露的所有漏洞。報(bào)告還研究了基于云計(jì)算的OT和SCADA基礎(chǔ)設(shè)施的構(gòu)成以及攻擊者可用的攻擊面。

　　作為這項(xiàng)研究的一部分，Claroty的Team82研究團(tuán)隊(duì)的成員共利用了7個(gè)漏洞，包括3個(gè)影響CODESYS和4個(gè)影響WAGO產(chǎn)品。具體來(lái)說(shuō)，這些缺陷影響了CODESYS的自動(dòng)化服務(wù)器平臺(tái)，該平臺(tái)使組織能夠從云端管理工業(yè)控制系統(tǒng)（ICS），以及WAGO的一些可編程邏輯控制器（PLC）。具體漏洞信息見(jiàn)下表。

　　研究人員展示了攻擊者如何從基于云的管理控制臺(tái)到所有被管理的終端設(shè)備，也可以從終端設(shè)備到管理控制臺(tái)。

　　Claroty提出的攻擊場(chǎng)景涉及到社會(huì)工程、WAGO和CODESYS漏洞的利用——這些漏洞在最近幾個(gè)月被供應(yīng)商修補(bǔ)過(guò)——以及其他一些技術(shù)和漏洞。

　　在第一個(gè)攻擊場(chǎng)景中，攻擊者使用偷來(lái)的憑據(jù)或漏洞獲得對(duì)管理控制臺(tái)操作員帳戶的未經(jīng)授權(quán)訪問(wèn)。

　　在Claroty描述的一個(gè)理論場(chǎng)景中，攻擊者創(chuàng)建了一個(gè)惡意的CODESYS包，用于泄漏憑證。這些包允許用戶向CODESYS產(chǎn)品添加新功能，它們可以在專(zhuān)門(mén)的應(yīng)用程序商店中獲得。

　　如果攻擊者成功地將惡意包上傳到CODESYS存儲(chǔ)中，他們可以說(shuō)服OT工程師安裝該包，他們可以在目標(biāo)Windows設(shè)備上執(zhí)行任意代碼，并獲得自動(dòng)化服務(wù)器憑據(jù)。

　　Claroty研究人員在一篇博客文章中解釋說(shuō)：“一旦攻擊者進(jìn)入基于云計(jì)算的管理控制臺(tái)，他們就有了一個(gè)廣泛的攻擊面。”“攻擊者能做的最簡(jiǎn)單的事情就是修改甚至停止當(dāng)前運(yùn)行在受控plc上的邏輯。例如，攻擊者可以停止負(fù)責(zé)生產(chǎn)線溫度調(diào)節(jié)的PLC程序，或者像震網(wǎng)病毒一樣改變離心機(jī)的速度。這些類(lèi)型的攻擊可能會(huì)導(dǎo)致現(xiàn)實(shí)生活中的破壞，影響生產(chǎn)時(shí)間和可用性?！?/p>

　　攻擊者還可以試圖找到使他們能夠逃離PLC沙盒的漏洞，這將使他們獲得對(duì)控制器的完全控制。

　　總結(jié)一下，攻擊步驟是這樣的：

　　1、攻擊者創(chuàng)建一個(gè)惡意包，一旦安裝，竊取保存的云用戶名和口令。

　　2、攻擊者設(shè)法讓OT工程師安裝惡意包（例如，通過(guò)社會(huì)工程，或通過(guò)向CODESYS存儲(chǔ)提交惡意代碼包）。

　　3、使用OT工程師泄露的自動(dòng)化服務(wù)器憑據(jù)，攻擊者修改當(dāng)前配置的項(xiàng)目，并添加一個(gè)惡意任務(wù)，例如，將在PLC上運(yùn)行反向shell。

　　4、攻擊者將一個(gè)流氓項(xiàng)目部署到所有相連的PLC上，并獲得對(duì)整個(gè)PLC的未經(jīng)授權(quán)的訪問(wèn)。

　　在Claroty描述的第二種情況中，攻擊者從一個(gè)被破壞的PLC到基于云的管理控制臺(tái)，從那里他們可以攻擊其他被管理的端點(diǎn)。

　　研究人員表明攻擊者可以劫持WAGO PLC通過(guò)利用一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行漏洞他們發(fā)現(xiàn)，然后使用集成的CODESYS WebVisu特性來(lái)添加一個(gè)新用戶管理平臺(tái)，并利用該帳戶接管CODESYS自動(dòng)化服務(wù)器實(shí)例。

　　Team82能夠通過(guò)以下步驟在CODESYS自動(dòng)化服務(wù)器和WAGO PLC平臺(tái)上實(shí)現(xiàn)這一點(diǎn)：

　　1、利用WAGO PLC上的預(yù)認(rèn)證遠(yuǎn)程代碼執(zhí)行漏洞。

　　2、利用集成CODESYS WebVisu特性中的一個(gè)bug向基于云的平臺(tái)添加一個(gè)新用戶。

　　3、接管CODESYS自動(dòng)化服務(wù)器帳戶。

　　每一種攻擊都將WAGO和CODESYS產(chǎn)品中的研究人員發(fā)現(xiàn)的漏洞鏈接起來(lái)。

　　Claroty提供了一些行業(yè)組織應(yīng)該遵循的高級(jí)別建議，以將攻擊的風(fēng)險(xiǎn)降至最低。具體緩解建議如下：

　　1、將所有云連接解決方案視為與您的工業(yè)網(wǎng)絡(luò)的可信通信，并實(shí)施供應(yīng)鏈風(fēng)險(xiǎn)管理計(jì)劃，包括了解供應(yīng)商的安全計(jì)劃。

　　2、要知道，現(xiàn)有的不連接云的解決方案可能會(huì)在下次升級(jí)中被連接——主動(dòng)監(jiān)控工業(yè)資產(chǎn)對(duì)于檢測(cè)到供應(yīng)商網(wǎng)絡(luò)的意外連接至關(guān)重要，這樣你就可以重新評(píng)估風(fēng)險(xiǎn)，并根據(jù)需要采取措施來(lái)緩解。

　　3、實(shí)施零信任架構(gòu)和策略，限制跨越工業(yè)網(wǎng)絡(luò)的異常通信。

　　4、雖然對(duì)可信云連接的內(nèi)聯(lián)攻擊幾乎不可能被檢測(cè)到，但攻擊者很可能會(huì)嘗試橫向移動(dòng)，以危及工業(yè)網(wǎng)絡(luò)中的其他系統(tǒng)。確保建立監(jiān)控能力，以識(shí)別來(lái)自關(guān)鍵資產(chǎn)的意外橫向移動(dòng)嘗試。

　　5、確保您的安全運(yùn)營(yíng)中心（SOC）和事件響應(yīng)團(tuán)隊(duì)準(zhǔn)備以及時(shí)和適當(dāng)?shù)姆绞巾憫?yīng)工業(yè)網(wǎng)絡(luò)事件。SOC團(tuán)隊(duì)通常以IT為中心，為了OT環(huán)境的考慮，他們的一些計(jì)劃可能需要更新。還可以考慮一個(gè)預(yù)先事件響應(yīng)服務(wù)，以確保在事件發(fā)生時(shí)快速響應(yīng)。