今日頭條
官方微信
官方抖音
資訊頻道據工業互聯網安全應急響應中心信息:
Positive Technologies 公司的研究員在工業網絡解決方案提供商摩莎 (Moxa) 制造的 EDS 和 IKS 交換機中發現了十多個漏洞,其中包含一個“嚴重”等級的漏洞。該供應商已經發布相關補丁和緩解措施。
Positive Technologies 公司在 EDS-405A、EDS-408A和 EDS-510A 中發現了5個安全漏洞。問題包括以明文形式存儲密碼、使用可預測的會話 ID、未對敏感數據加密、缺乏阻止暴力攻擊的機制以及可被用于發動 DoS 攻擊的缺陷。
摩莎 IKS-G6824A 系列的交換機中包含7種類型的漏洞,包括一個可導致遠程代碼執行的緩沖區溢出漏洞、以明文形式存儲密碼、多個跨站點腳本問題、未能處理某種數據包類型、內存泄漏問題、對 web 接口的訪問控制不當以及多個跨站點請求偽造漏洞。
研究人員指出,“最嚴重的一個漏洞涉及 web 接口中的一個緩沖區溢出,可在無需登錄的情況下執行攻擊。利用該漏洞可導致拒絕服務和部分遠程代碼執行。攻擊者還可利用其它漏洞導致交換機永久性拒絕服務、讀取設備內存、以合法用戶的身份在設備 web 接口執行各種動作。”
這些安全漏洞影響運行3.8或更低版本固件的 EDS 交換機以及運行版本 4.5 或更低版本固件的 IKS 交換機。很多缺陷已在上個月得到修復。余下的漏洞問題可通過將設備配置為僅使用 HTTPS (EDS 交換機)和使用 SNMP、Telnet 或 CLI 控制臺訪問而非使用 HTTP web 控制臺(IKS 交換機)的形式得以緩解。
研究人員表示,“易遭攻擊的交換機可能意味著整個工業網絡遭攻陷。如果 ICS 組件是身體的組成部分,那么你可以將網絡設備看做連接它們的動脈。因此破壞網絡交互能夠降級或者完全阻止 ICS 運營。”
INSComment引石安評:
(一)我國工控系統的現狀
我國工控系統,尤其是在一些重要的工控系統,95%以上都是采用國外的核心硬件PLC,其相配套的工業控制軟件,也是主動國外產品。國內廠商的工業控制產品大都缺失核心技術,如果沒有國外廠商的支持和配合,工控的安全技術措施很難在現有的工控系統硬件和軟件上實施,自主的工控系統信息安全防御無處下手。
工業安全將是和平年代的國家戰略基礎!習主席提出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”將安全上升到國家戰略層面。同時指出:“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標!”隨著國家對安全的重視,國家制訂了安全戰略規劃,推出了自主的國家密碼算法,鼓勵使用自主的專利技術,讓工業控制系統的安全逐步走到國人自主的道路上來。
當下,我國工控網絡安全雖然做了一些工作,但是基本上是把信息系統的安全措施平移到工業控制系統上來,主要以防火墻網關,網閘為主。從結構上來看,圍繞工控核心系統在外圍采取了包裹防御的策略,形成了分域防護、縱深防御的技術路線。但工控核心系統的安全問題仍未被觸及。實際情況是,分域防護實現了工控網絡的區域間訪問控制,但縱深防御遠未落實。
(二)我國工控系統安全面臨的挑戰
隨著人工智能技術的發展,工業物聯網將成為今后工業發展的重點,2019年兩會期間,國家指出了工業物聯網的發展方向,國家重點企業都提出了各自的工業物聯網發展規劃。
在今后的工業物聯網發展過程中,更多的工業設備被加入到工業物聯網中,大量設備的安全認證、數據傳輸及運行計算僅通過中心來實現顯然是不現實的,降低中心的壓力,更多計算將通過邊緣計算來實現。尤其對于處于工控安全核心區的防護是工業物聯網趨勢下,最需要首先應對的問題。
工控應用中,現有防火墻防御存在安全隱患:僅能抵御一般攻擊,但無法應對體系化的攻擊風險;同時,工業核心區域外圍防護較弱,一旦突破,將面臨全面失守,缺乏防御縱深;目前,嚴重依賴現場人員能力的自學習+人工配置,不能保證白名單是白的,可能還包含了持久化工具,導致安全風險加大。
(三)基于標識公鑰體系的工控安全防御架構
摩莎 (Moxa) 工業交互機的安全漏洞事件反應出工控行業產品對安全防御的嚴重缺失,隨著工業物聯網的發展。僅僅采用傳統的安全手段去進行工業安全防御是不行的,無法對工控安全風險做出更好的防御。
傳統的證書體系需要引入第三方,會造成工控安全投入與實施的難度,在實際應用中也會帶來不便。標識公鑰體系的安全架構使得工業物聯網應用中不需要數字證書的參與,而是將物聯網接入設備的標識作為演算并分發公/私鑰的因子,并且公鑰的計算過程同時也是公鑰真實性的證明過程,解決了公鑰的分發與證明問題,實現了工業物聯網的輕量且去中心化的公鑰安全體系。
標識公鑰技術可以實現工業物聯網中設備之間的點對點認證,完全滿足工業物聯網節點多、分布廣、低功耗等需求特點,同時滿足對于證書認證無法實現的物聯網NB-IoT、LoRa等窄帶通訊的安全認證,解決了物聯網密鑰分發與管理的技術性難題,其安全架構為物聯網的應用建立了主動安全防御體系。
(四)保障工控安全的新一代安全交換機產品展望
構建可信白名單機制: 采用標識公鑰數字簽名技術構建可信的白名單,并對接入的設備提供有效的身份認證機制,彌補自學習和人工設定的缺陷。
為工控核心區建立訪問控制:自主可控的工控安全交換機,提供核心區的訪問控制能力,在工業現場實現基于可信白名單的工控核心區的訪問控制策略,建立縱深防御能力。
為企業/行業/國家檢測建立體系化評估規范:依托可信白名單與身份認證機制和安全工控交換機,為企業(能源/電力/交通等行業)建立工控設備的安全認證機制與數據安全保護,形成工控安全領域的檢測與評估規范。
基于IPK標識安全技術,攜手工控安全上市企業推出新一代安全交換機產品,采用分布架構,實現邊緣計算,使用國家密碼算法,自主可控,為工控安全提供全新解決方案,拓展防御縱深,保護工控核心,構筑工控安全新防線!
來源:引石安評
北京市公安局海淀分局備案號:11010802023656號