注意！这56个漏洞已影响数千台关键基础设施环境中的工业设备

主 要 内 容

近日，一份关于一组56个漏洞的安全报告已发布，这些漏洞统称为 Icefall，会影响各种关键基础设施环境中使用的运营技术 (OT) 设备。

据悉，Icefall是由Forescout的Vedere实验室的安全研究人员发现，它影响了十家供应商的设备。包括安全漏洞类型允许远程代码执行、破坏凭证、固件和配置更改、身份验证绕过和逻辑操作。

受影响的供应商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他们已在 Phoenix Contact、CERT VDE和美国网络安全和基础设施安全局 ( CISA ) 协调的负责任披露中得到通知。

在过去的几年里，受 Icefall 影响的系统类型已成为专门恶意软件 Industroyer 2 和 CaddyWiper 的更频繁目标，这两种恶意软件都是不久前由俄罗斯黑客针对乌克兰发电厂部署的。

Vedere Labs 发现的缺陷主要涉及凭证安全、固件操纵和远程代码执行，同时操纵配置和创建拒绝服务 (DoS) 状态帐户的数量较少。

Icefall漏洞的类型 （Forescout）

Forescout在其报告中指出，“许多漏洞是由于 OT 的设计不安全”，还补充说“许多身份验证方案被破坏”，这表明实施阶段的安全控制不足。

例如，研究人员指出，许多设备使用明文凭据、弱密码或损坏密码、硬编码密钥和客户端身份验证。

这些身份验证漏洞为威胁行为者实现远程代码执行 (RCE) 和 DoS 条件或安装恶意固件映像铺平了道路。通过在目标设备或其后面的设备上发出命令来直接操作操作是研究人员强调的另一个风险。

Icefall 影响了众多工业部门使用的各种设备，使其极具吸引力，尤其是对国家支持的对手而言。

Forescout 表示，一些可能来自利用 Icefall 的威胁参与者的场景包括创建误报、更改流量设定点、中断 SCADA 操作或禁用紧急关闭和消防安全系统。

为了证明他们的发现和潜在风险，研究人员使用了风力发电和天然气运输系统，显示了各种 Icefall 缺陷的位置以及如何将它们链接起来以实现更深层次的妥协。

（图注风力发电厂的冰瀑缺陷 （Forescout））

（天然气运输系统 （Forescout）

受影响的设备分布在世界各地。分析师使用 Shodan 扫描互联网以查找暴露的易受攻击的系统，并发现以下前六名：

Honeywell Saia Burgess – 2924 台设备，遍布意大利、德国、瑞士、瑞典和法国。

Omron 控制器——西班牙、加拿大、法国、美国和匈牙利的 1305 台设备。

Phoenix Contact DDI – 意大利、德国、印度、西班牙和土耳其的 705 台设备。

ProConOS SOCOMM – 236 台设备，遍布中国、美国、德国、新加坡和香港。

霍尼韦尔趋势控制——法国、丹麦、意大利、西班牙和英国的 162 台设备。

Emerson Fanuc /PACSystems – 美国、加拿大、波兰、台湾和西班牙的 60 台设备。

值得注意的是，有 74% 的易受攻击产品系列已通过安全认证，这表明这些程序既不安全，也不够全面。

主要的安全建议是应用供应商提供的最新固件更新。不过，目前并非所有提到的供应商都发布了 Icefall 的修复程序，也有下游供应商需要采取行动。

在修复可用或可以安装之前，强烈建议系统管理员对网络进行分段并监控流量和设备活动。

使用“设计安全”的设备发现和替换易受攻击的产品以及安装物理交换机是降低妥协变化的好方法。

Forescout 通过对软件、固件和硬件组件的深入手动和自动分析发现了 Icefall 漏洞集。该公司发布了一份更详细的技术报告，描述了影响一个供应商的四个漏洞，但这些漏洞仍在披露中。

建议公司遵循每个供应商的安全建议，以了解有关每个漏洞对受影响产品的具体影响的更多详细信息。