工業(yè)無(wú)線物聯(lián)網(wǎng)解決方案中的缺陷可讓攻擊者深入訪問 OT 網(wǎng)絡(luò)

更多地使用工業(yè)蜂窩網(wǎng)關(guān)和路由器會(huì)使 IIoT 設(shè)備暴露給攻擊者并增加 OT 網(wǎng)絡(luò)的攻擊面。

運(yùn)營(yíng)技術(shù) (OT) 團(tuán)隊(duì)通常通過無(wú)線和蜂窩解決方案將工業(yè)控制系統(tǒng) (ICS) 連接到遠(yuǎn)程控制和監(jiān)控中心，這些解決方案有時(shí)帶有供應(yīng)商運(yùn)行的基于云的管理界面。這些連接解決方案，也稱為工業(yè)無(wú)線物聯(lián)網(wǎng)設(shè)備，增加了 OT 網(wǎng)絡(luò)的攻擊面，并且可以為遠(yuǎn)程攻擊者提供進(jìn)入包含關(guān)鍵控制器的先前分段網(wǎng)絡(luò)段的捷徑。

工業(yè)網(wǎng)絡(luò)安全公司 Otorio 最近發(fā)布了一份報(bào)告，強(qiáng)調(diào)了這些設(shè)備容易受到的攻擊向量以及該公司的研究人員在幾種此類產(chǎn)品中發(fā)現(xiàn)的漏洞。Otorio 研究人員在他們的報(bào)告中說(shuō)：“工業(yè)無(wú)線物聯(lián)網(wǎng)設(shè)備及其基于云的管理平臺(tái)是攻擊者在工業(yè)環(huán)境中尋找初步立足點(diǎn)的有吸引力的目標(biāo)?！? “這是由于對(duì)漏洞利用和潛在影響的最低要求?！?/span>

傳統(tǒng) OT 網(wǎng)絡(luò)架構(gòu)的轉(zhuǎn)變

OT 安全通常遵循 Purdue 企業(yè)參考架構(gòu) (PERA)模型來(lái)決定在何處放置強(qiáng)大的訪問控制層并進(jìn)行分段。該模型可追溯到 1990 年代，將企業(yè) IT 和 OT 網(wǎng)絡(luò)分為六個(gè)功能級(jí)別。

0 級(jí)是直接影響物理過程的設(shè)備，包括閥門、電機(jī)、執(zhí)行器和傳感器等。

第 1 層或基本控制層包括現(xiàn)場(chǎng)控制器，例如可編程邏輯控制器 (PLC) 和遠(yuǎn)程終端單元 (RTU)，它們根據(jù)工程師上傳的邏輯(程序)控制這些傳感器、閥門和執(zhí)行器。

第 2 層是監(jiān)督控制層，包括監(jiān)督控制和數(shù)據(jù)采集 (SCADA) 系統(tǒng)，這些系統(tǒng)收集從第 1 層控制器接收到的數(shù)據(jù)并根據(jù)這些數(shù)據(jù)采取行動(dòng)。

第 3 層是現(xiàn)場(chǎng)控制層，包括直接支持工廠運(yùn)營(yíng)的系統(tǒng)，例如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用程序服務(wù)器、人機(jī)界面、用于對(duì)現(xiàn)場(chǎng)控制器進(jìn)行編程的工程工作站等。這通常稱為控制中心，并通過非軍事區(qū) (DMZ) 連接到組織的通用 IT 企業(yè)網(wǎng)絡(luò)(第 4 級(jí))。

正是在這個(gè) DMZ 中，組織將他們的邊界安全工作集中在其網(wǎng)絡(luò)的 IT 和 OT 部分之間。額外的控制通常放在 3 級(jí)和 2 級(jí)之間，以保護(hù)現(xiàn)場(chǎng)設(shè)備免受入侵控制中心。

然而，一些組織可能有遠(yuǎn)程工業(yè)裝置，他們需要連接到他們的中央控制中心。這在天然氣和石油等行業(yè)更為常見，運(yùn)營(yíng)商在不同地點(diǎn)擁有多個(gè)油田和氣井，但它在其他行業(yè)也很普遍。遠(yuǎn)程 0-2 級(jí)設(shè)備和 3 級(jí)控制系統(tǒng)之間的這些鏈接通常由工業(yè)蜂窩網(wǎng)關(guān)或工業(yè) Wi-Fi 接入點(diǎn)提供。

這些工業(yè)無(wú)線物聯(lián)網(wǎng)設(shè)備可以通過多種協(xié)議(如 Modbus 和 DNP3)與現(xiàn)場(chǎng)設(shè)備通信，然后使用各種安全通信機(jī)制(如 VPN)通過互聯(lián)網(wǎng)連接回組織的控制中心。許多設(shè)備制造商還為工業(yè)資產(chǎn)所有者提供基于云的管理界面，以遠(yuǎn)程管理他們的設(shè)備。

工業(yè)無(wú)線物聯(lián)網(wǎng)設(shè)備中的漏洞

這些與連接到互聯(lián)網(wǎng)的任何其他設(shè)備一樣，增加了 OT 網(wǎng)絡(luò)的攻擊面并削弱了組織傳統(tǒng)上實(shí)施的安全控制，為攻擊者提供了進(jìn)入 OT 網(wǎng)絡(luò)較低級(jí)別的旁路。Otorio 研究人員在他們的報(bào)告中說(shuō)：“利用 Shodan 等搜索引擎，我們觀察到工業(yè)蜂窩網(wǎng)關(guān)和路由器的廣泛暴露，使它們很容易被發(fā)現(xiàn)并且可能容易受到威脅行為者的利用?！?他們關(guān)于具有可訪問互聯(lián)網(wǎng)的 Web 服務(wù)器和接口的設(shè)備的一些發(fā)現(xiàn)包括：

研究人員聲稱，他們?cè)趤?lái)自其中三個(gè)供應(yīng)商(Sierra、InHand 和 ETIC)的設(shè)備的基于 Web 的界面中發(fā)現(xiàn)了 24 個(gè)漏洞，并設(shè)法在所有這三個(gè)供應(yīng)商上實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行。

雖然其中許多漏洞仍在負(fù)責(zé)任地披露過程中，但已經(jīng)修補(bǔ)的漏洞影響了 Sierra Wireless AirLink 路由器，并被跟蹤為 CVE-2022-46649。這是路由器基于 Web 的管理界面 ACEManager 的 IP 日志記錄功能中的一個(gè)命令注入漏洞，是 Talos 研究人員在 2018 年發(fā)現(xiàn)的另一個(gè)漏洞的變體，該漏洞被追蹤為 CVE-2018-4061。

事實(shí)證明，Sierra 為解決 CVE-2018-4061 而實(shí)施的過濾并未涵蓋所有漏洞利用場(chǎng)景，Otorio 的研究人員能夠繞過它。在 CVE-2018-4061 中，攻擊者可以使用 -z 標(biāo)志將額外的 shell 命令附加到由 ACEManager iplogging.cgi 腳本執(zhí)行的 tcpdump 命令。此標(biāo)志由命令行 tcpdump 實(shí)用程序支持，用于傳遞所謂的 postrotate 命令。Sierra 通過執(zhí)行一個(gè)過濾器來(lái)修復(fù)它，該過濾器從傳遞給 iplogging 腳本的命令中刪除任何 -z 標(biāo)志，如果它后面跟著空格，制表符，換頁(yè)符或垂直制表符，這將阻止，例如，“tcpdump -z reboot ”。

根據(jù) Otorio 的說(shuō)法，他們錯(cuò)過的是 -z 標(biāo)志后面不需要任何這些字符，并且像“tcpdump -zreboot”這樣的命令可以很好地執(zhí)行并繞過過濾。單靠這種繞過仍然會(huì)限制攻擊者執(zhí)行設(shè)備上已經(jīng)存在的二進(jìn)制文件，因此研究人員開發(fā)了一種方法，將他們的有效負(fù)載隱藏在通過另一個(gè)名為 iplogging_upload.cgi 的 ACEManager 功能上傳到設(shè)備的 PCAP(包捕獲)文件中。這個(gè)特制的 PCAP 文件在被 sh(shell 解釋器)解析時(shí)也可以充當(dāng) shell 腳本，并且可以通過使用 iplogging.cgi 中的 -z 漏洞觸發(fā)其解析和執(zhí)行。

云管理風(fēng)險(xiǎn)

即使這些設(shè)備不將其基于 Web 的管理界面直接暴露給互聯(lián)網(wǎng)(這不是一種安全的部署做法)，遠(yuǎn)程攻擊者也不會(huì)完全無(wú)法訪問它們。這是因?yàn)榇蠖鄶?shù)供應(yīng)商都提供基于云的管理平臺(tái)，允許設(shè)備所有者執(zhí)行配置更改、固件更新、設(shè)備重啟、設(shè)備上的隧道流量等。

這些設(shè)備通常使用 MQTT 等機(jī)器對(duì)機(jī)器 (M2M) 協(xié)議與這些云管理服務(wù)進(jìn)行通信，它們的實(shí)現(xiàn)可能存在弱點(diǎn)。Otorio 研究人員在三個(gè)供應(yīng)商的云平臺(tái)中發(fā)現(xiàn)了嚴(yán)重漏洞，允許攻擊者在無(wú)需身份驗(yàn)證的情況下遠(yuǎn)程破壞任何云管理設(shè)備。

“通過針對(duì)單一供應(yīng)商基于云的管理平臺(tái)，遠(yuǎn)程攻擊者可能會(huì)暴露位于不同網(wǎng)絡(luò)和部門的數(shù)千臺(tái)設(shè)備，”研究人員說(shuō)?！霸乒芾砥脚_(tái)的攻擊面很廣。它包括利用 Web 應(yīng)用程序(云用戶界面)、濫用 M2M 協(xié)議、薄弱的訪問控制策略或?yàn)E用薄弱的注冊(cè)過程。”

研究人員通過他們?cè)?InHand Networks 的“設(shè)備管理器”云平臺(tái)及其 InRouter 設(shè)備的固件中發(fā)現(xiàn)的一系列三個(gè)漏洞來(lái)舉例說(shuō)明這些風(fēng)險(xiǎn)，這些漏洞可能導(dǎo)致在所有云管理的 InRouter 設(shè)備上以 root 權(quán)限遠(yuǎn)程執(zhí)行代碼。

首先，他們研究了設(shè)備通過 MQTT 與平臺(tái)對(duì)話的方式以及實(shí)現(xiàn)身份驗(yàn)證或“注冊(cè)”的方式，他們發(fā)現(xiàn)注冊(cè)使用的隨機(jī)值不夠充分，并且可能被強(qiáng)制執(zhí)行。換句話說(shuō)，其中兩個(gè)漏洞允許研究人員通過模擬經(jīng)過身份驗(yàn)證的連接并向路由器寫入任務(wù)(例如更改其主機(jī)名)來(lái)強(qiáng)制路由器提供其配置文件。

第三個(gè)漏洞是路由器通過 MQTT 解析配置文件的方式，特別是在用于解析名為 auto_ping 的功能參數(shù)的函數(shù)中。研究人員發(fā)現(xiàn)他們可以啟用 auto_ping，然后將反向 shell 命令行連接到 auto_ping_dst 函數(shù)，這將在設(shè)備上以 root 權(quán)限執(zhí)行。

對(duì) OT 網(wǎng)絡(luò)的無(wú)線攻擊

除了互聯(lián)網(wǎng)上可用的遠(yuǎn)程攻擊媒介之外，這些設(shè)備還在本地暴露 Wi-Fi 和蜂窩信號(hào)，因此可以利用這些技術(shù)對(duì)它們進(jìn)行任何攻擊?！翱梢詫?duì) Wi-Fi 和蜂窩通信通道使用不同類型的本地攻擊，從對(duì) WEP 等弱加密的攻擊和對(duì)易受攻擊的 GPRS 的降級(jí)攻擊開始，一直到可能需要時(shí)間修補(bǔ)的復(fù)雜芯片組漏洞，”研究人員說(shuō)。

雖然研究人員沒有調(diào)查 Wi-Fi 或蜂窩基帶調(diào)制解調(diào)器漏洞，但他們使用 WiGLE 進(jìn)行了偵察，WiGLE 是一種公共無(wú)線網(wǎng)絡(luò)映射服務(wù)，可收集全球無(wú)線接入點(diǎn)的信息?！袄酶呒?jí)過濾選項(xiàng)，我們編寫了一個(gè) Python 腳本掃描潛在的高價(jià)值工業(yè)或關(guān)鍵基礎(chǔ)設(shè)施環(huán)境，突出顯示配置了弱加密的環(huán)境，”研究人員說(shuō)?！拔覀兊膾呙璋l(fā)現(xiàn)了數(shù)千個(gè)與工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的無(wú)線設(shè)備，其中數(shù)百個(gè)配置了眾所周知的弱加密?！?/span>

使用這種技術(shù)，研究人員設(shè)法在現(xiàn)實(shí)世界中的制造廠、油田、變電站和水處理設(shè)施中找到部署了弱無(wú)線加密的設(shè)備。攻擊者可以使用這種偵察來(lái)識(shí)別薄弱的設(shè)備，然后前往現(xiàn)場(chǎng)利用它們。

緩解無(wú)線物聯(lián)網(wǎng)設(shè)備漏洞

由于此類設(shè)備在 OT 網(wǎng)絡(luò)中的特權(quán)地位和對(duì)關(guān)鍵控制器的直接訪問權(quán)限，因此在發(fā)現(xiàn)此類設(shè)備中的漏洞時(shí)對(duì)其進(jìn)行修補(bǔ)非常重要，因此應(yīng)采取額外的預(yù)防措施來(lái)降低風(fēng)險(xiǎn)。Otorio 研究人員有以下建議：

禁用并避免任何不安全的加密(WEP、WAP)，并且在可能的情況下，不允許使用 GPRS 等舊協(xié)議。

隱藏您的網(wǎng)絡(luò)名稱 (SSID)。

對(duì)連接的設(shè)備使用基于 MAC 的白名單，或使用證書。

驗(yàn)證管理服務(wù)僅限于 LAN 接口或 IP 白名單。

確保沒有使用默認(rèn)憑據(jù)。

警惕您設(shè)備的新安全更新。

確認(rèn)這些服務(wù)在未使用時(shí)被禁用(在許多情況下默認(rèn)啟用)。

單獨(dú)實(shí)施安全解決方案(VPN、防火墻)，將來(lái)自 IIoT 的流量視為不受信任。

參考及來(lái)源：https://www.csoonline.com/article/3687735/flaws-in-industrial-wireless-iot-solutions-can-give-attackers-deep-access-into-ot-networks.html#tk.rss_all

來(lái)源：嘶吼專業(yè)版