工控安全遭严峻挑战，56个严重漏洞席卷OT 设备

据The Hacker News消息，安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”，这些漏洞也被安全研究人员称之为“不安全的设计实践”。

OT:ICEFALL（冰瀑）漏洞涵盖来自 Bently Nevada、Emerson、Honeywell、JTEKT、Motorola、Omron、Phoenix Contact、Siemens 和 Yokogawa 的多达 26 种设备型号。

报告指出，利用这些漏洞，具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击，更改 OT 设备的逻辑、文件或固件，绕过身份验证，破坏凭据，导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业，这些漏洞一旦被攻击者大规模利用，很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中，38% 允许破坏凭据，21% 允许固件操作，14% 允许远程代码执行，8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能，来调用目标上的任何功能。

值得注意的是，56个漏洞中有22个是“破坏身份验证方案”，包括绕过、使用有风险的加密协议，硬编码和明文凭证，这意味着这些方案在实施时“安全控制明显不足”。

在现实世界里，这些漏洞很有可能被武器化，并大规模在、天然气管道、风力涡轮机或离散制造装配线等领域应用，以扰乱燃料运输、超越安全设置、停止控制压缩机站的能力以及改变可编程逻辑的功能控制器（PLC）等。

这并非杞人忧天。事实上一个影响Omron NJ/NX控制器的远程代码执行漏洞 (CVE-2022-31206) ，已经被一个名为CHERNOVITE的攻击者利用，并针对性开发一种名为 PIPEDREAM（又名 INCONTROLLER）的恶意软件。

另外，IT 和 OT 网络之间日益增加的连接也让风险管理变的更加复杂，再加上这些漏洞没有CVE编号，使得很多安全问题变的不可见，也让这些不安全的漏洞长时间保留在系统和设备中。

为了减轻 OT:ICEFALL 的影响，安全专家建议发现和清点易受攻击的设备，及时更新应用供应商特定的补丁，强制分割 OT 资产，监控网络流量以发现异常活动，并采购设计安全的产品加强供应链。

安全研究人员还表示，就最近针对关键基础设施的恶意软件（如Industroyer2、Triton和INCONTROLLER ）来看，攻击者已经意识到工控上存在大量的不安全设计，并准备利用这些漏洞对基础设施发起攻击。

尽管不断强化的安全标准在驱动OT安全方面发挥了重要的作用，但就OT:ICEFALL漏洞来看，具有不安全设计特性和安全防御能力低下的设备和产品，正在持续获得认证并投入到市场上使用。

原文来自: freebuf.com