工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員發(fā)現(xiàn)，工業(yè)巨頭霍尼韋爾的Experion過程知識系統(tǒng)（PKS）受到三個漏洞的影響，具體產(chǎn)品型號為C200、C200E、C300和ACE控制器。其中CVE-2021-38395和CVE-2021-38397被評定為嚴重級別，CVSS評分分別為9.1和7.5，可以允許攻擊者遠程執(zhí)行系統(tǒng)上的任意代碼或?qū)е戮芙^服務(wù)（DoS）條件。第三個漏洞被跟蹤為CVE-2021-38399，被列為高度嚴重，CVSS評分為10，是一個路徑遍歷漏洞，攻擊者可以訪問文件和文件夾。DCS設(shè)備因其價格昂貴難以獲得，相關(guān)安全研究的環(huán)境條件不容易滿足，因此DCS漏洞的披露通常相對較少。

　　霍尼韋爾（Honeywell）在今年2月發(fā)布了一份針對這些漏洞的安全建議，并告知客戶計劃在今年發(fā)布補丁。但是，受影響產(chǎn)品的某些版本將不會收到修復(fù)程序。

　　在10月5日發(fā)表的一篇博客文章中，Claroty詳細介紹了其Team82研究人員發(fā)現(xiàn)的漏洞，以及它們在現(xiàn)實世界環(huán)境中的潛在影響。

　　分布式控制系統(tǒng)（DCS）是設(shè)計用于控制大型工業(yè)流程的復(fù)雜系統(tǒng)，由多個控制器、I/O設(shè)備和人機界面（HMIs）組成。這些系統(tǒng)通常用于需要高可用性和連續(xù)操作的大型工廠?；裟犴f爾Experion過程知識系統(tǒng)（PKS）是在全球和不同行業(yè)廣泛采用的DCS系統(tǒng)。這個巨大的自動化平臺集成了來自整個環(huán)境的控制器的數(shù)據(jù)，提供了整個工廠范圍內(nèi)流程的集中視圖。該系統(tǒng)主要使用C200、C300和ACE控制器，可以通過Honeywell的工程工作站軟件Experion PKS Configuration Studio進行編程。邏輯（開發(fā)為框圖）可以從工程工作站下載到DCS中的不同組件。

　　“以Experion PKS為例，Team82發(fā)現(xiàn)可以模擬下載代碼過程，并使用這些請求來上傳任意DLL/ELF文件（分別用于模擬器和控制器）。然后該設(shè)備加載可執(zhí)行文件而不執(zhí)行檢查或消毒，使攻擊者能夠上傳可執(zhí)行文件，并在無需身份驗證的情況下遠程運行未授權(quán)的本機代碼。”Claroty解釋道。

　　攻擊者可以利用這些漏洞造成重大中斷或濫用DCS對目標組織的網(wǎng)絡(luò)進行進一步攻擊。然而，Claroty指出，攻擊者為了利用漏洞而需要訪問的端口通常不會暴露在互聯(lián)網(wǎng)上。在利用漏洞之前，攻擊者需要找到一種方法來訪問目標組織的OT網(wǎng)絡(luò)。

　　漏洞產(chǎn)生的根源在控制組件庫CCL （Control Component Library）。CCL是加載到控制器上執(zhí)行特定功能的標準庫?？梢詫CL庫看作是一種擴展，它使開發(fā)人員能夠使用標準庫不支持的外部功能塊來使用特定于應(yīng)用程序的功能。

　　CCL格式是DLL/ELF文件的包裝器（wrapper）。它的前四個字節(jié)是可執(zhí)行文件（DLL/ELF）的CRC32。接下來的128字節(jié)表示庫的名稱（用空值包裝），文件的其余部分是實際封裝的DLL/ELF文件。封裝的DLL/ELF文件是塊代碼庫，在Control Builder軟件中使用。當CCL文件被解析時，沒有安全驗證，例如簽名檢查或庫名的衛(wèi)生處理。因此，攻擊者可以執(zhí)行目錄遍歷攻擊，并將他們希望的任何DLL/ELF文件上傳到遠程控制器上的任意位置。

　　此外，在Claroty的研究現(xiàn)，在某些情況下發(fā)送到終端設(shè)備的CCL文件會立即執(zhí)行，而不需要執(zhí)行安全檢查（如簽名檢查）。該協(xié)議不需要身份驗證，這將阻止未授權(quán)用戶執(zhí)行下載操作。因此，任何攻擊者都可能使用這個庫下載功能來遠程執(zhí)行代碼，而無需身份驗證。為此，攻擊者可以使用該協(xié)議將其選擇的DLL/ELF下載到控制器/模擬器，并立即在終端設(shè)備上執(zhí)行。

　　分布式控制系統(tǒng)通常被網(wǎng)絡(luò)安全研究人員視為黑盒子。由于設(shè)備昂貴難以獲得，因此泄漏的DCS漏洞相對較少。像許多其他類型的工業(yè)設(shè)備一樣，它不容易在網(wǎng)上購買，而且它的購買和配置可能成本非常之高。這種情況在工業(yè)控制系統(tǒng)和SCADA設(shè)備中經(jīng)常發(fā)生，這對新近活躍的ICS安全研究人員來說是一個重大的障礙，他們更有可能檢查來自市場領(lǐng)先供應(yīng)商的商用設(shè)備。

　　今年早些時候，霍尼韋爾通過一系列更新和補丁解決了這些漏洞。所有在其環(huán)境中使用受影響控制器的Experion PKS客戶，無論他們是否使用ccl，都將受到影響。已經(jīng)在網(wǎng)絡(luò)上的攻擊者可以通過將帶有惡意代碼的修改CCL加載到將執(zhí)行攻擊者代碼的控制器中來影響進程。

　　霍尼韋爾對這些關(guān)鍵漏洞的反應(yīng)比較迅速。為了解決Team82私下披露的缺陷，霍尼韋爾已經(jīng)向CCL添加了加密簽名，以確保它們沒有被篡改?，F(xiàn)在，每個CCL二進制文件都有一個相關(guān)的加密簽名，當CCL加載時發(fā)送給控制器；霍尼韋爾在其咨詢報告中說，在使用CCL之前，該簽名是經(jīng)過驗證的。

　　霍尼韋爾已經(jīng)為受影響的Experion PKS版本提供了補丁，包括服務(wù)器軟件補丁和控制器固件的修復(fù)。為了完全減輕這些漏洞，必須應(yīng)用這兩種方法。

　　R510.2 （Hotfix10，已發(fā)布）和R501.6版本的修補程序已經(jīng)發(fā)布或?qū)l(fā)布。版本R511.5還解決了所有這些漏洞。其他的Experion版本沒有補丁可用，敦促這些用戶遷移到最新的版本。

　　美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）當?shù)貢r間10月5日也發(fā)布了一份咨詢建議和一個通知，警示各組織這些漏洞構(gòu)成的威脅。