想知道发电厂、能源工厂是如何控制成千上万的分散在各个区域的设备吗?今天给大家推荐的是来自IEEE S&P 2022的一篇工控系统安全的论文——“Exposed Infrastructures: Discovery, Attacks and Remediation of Insecure ICS Remote Management Devices”,作者对工控系统中远程管理设备的安全性进行分析,结果表明大量设备没有实现安全的配置,并从中发现出13个0day漏洞。
在工业控制系统(ICS)中,大部分基础设施设备地理位置较为分散(如太阳能发电站),且并不会直接连接到互联网。为了便于对这些设备进行远程操控,ICS中通常会包含一类远程管理设备,其位于ICS设备和互联网之间,能够管理控制ICS设备并连接到网络;相应地,此类设备通常会包含两种IP协议接口,即用于远程管理的Web GUI和用于与ICS设备内部系统直接通信的接口。其中,第一类接口通常会通过带有SIM卡的移动路由器连接到移动网络,而第二类接口通常不会暴露在互联网上。
由于远程管理设备能够连接互联网,且与其他基础设施的安全性紧密相关,例如能够通过Web GUI监控ICS设备状态或控制设备,如果这些设备能够被攻破,那么其他的ICS设备的安全性也会受到威胁。
因此,本文作者深入探究了工控系统中此类远程管理设备的安全性。作者首先提出了一种新方法来发现网络中的远程管理设备,之后进一步评估这些发现设备的安全性,最后还部署蜜罐来了解真实世界中的攻击。
(1) Device Discovery
方法:由于远程管理设备通常不会将与设备交互的ICS协议暴露于互联网,常见的互联网扫描方法(基于ICS协议)无法检测到远程管理设备。因此,作者利用远程管理设备的Web GUI接口来实现设备发现。该方法主要分为三步:
-
由于远程管理设备通常会共享WebUI,而常规网站会更加多样,作者首先扫描特定的移动网络,收集WebUI并将其聚类。
-
由于其他部分物联网设备(如IP摄像头)也会共享WebUI,作者进一步利用远程管理设备WebUI中包含的自定义字段,手动验证所选集群是否为远程管理设备,并提取每个集群的特征作为该设备类型的签名。
-
最后,作者在互联网范围的扫描中使用这些签名。
结果:作者在17个月内对日本网络进行了39轮扫描,识别了23种设备类型特征,利用生成的签名检测到了890台设备,并通过手工验证确定了473台远程管理设备。在全球范围内的扫描中,作者在美国的一家移动ISP中识别出8种新设备型号,并以此找到了3875台设备。此外,如图4所示,相关实验结果表明本文的方法相较于其他方法能更有效的识别工控系统远程管理设备。
(2) Device Security
在设备发现之后,作者从三个方面探究了远程管理设备的安全性:
-
不安全的配置:远程管理设备WebUI通常会提供Web表单身份验证或HTTP基本身份验证。
-
在扫描发现的远程管理设备中,有61%(539/890)的设备允许在没有任何身份验证的情况下访问WebUI;通过进一步采访发现有34%的设备运营商使用了默认密码或易于猜测的密码。此外,有81%的设备显示了设施或相关组织的名称,作者认为这可能会造成一定程度的隐私泄露。
-
未修复的漏洞:远程管理设备通常不包含自动更新功能。
-
作者挑选了NEC Calsos的CSDJ型号设备,对其已知漏洞修补情况进行进一步探究。结果表明,在发现的71台CSDJ设备中,有17台设备仍然使用旧版本漏洞固件。
-
0day漏洞
-
作者对三类主要类型设备的WebUI进行了渗透测试,包括Nmap服务发现和OpenVAS漏洞扫描以及其他普遍存在漏洞的检测,共发现了13个0day漏洞,包含不正确的访问控制、系统命令注入等。
(3) Attack Observations
作者实现了一个蜜罐,通过模拟远程管理设备典型的错误配置来调查针对远程管理设备的实际攻击,如图5所示。实验结果与设想相符,攻击者会长期访问这些WebUI,并会试图改变设备配置。
原文链接:
https://www.computer.org/csdl/proceedings-article/sp/2022/131600b308/1A4Q4bAkkik
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-05-17
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论