CWE(Common WeaknessEnumeration,通用缺陷枚举)是由MITRE公司维护的一个通用软件和硬件缺陷类型的列表。CWE列表首次发布于2006年,主要关注软件漏洞。近年来,随着工业控制系统、医疗设备、汽车、可穿戴设备的发展,硬件安全问题成为企业IT、OT的关注点,于是在2020年CWE列表中增加了硬件漏洞。软件和硬件的缺陷严重程度使用常见缺陷评分系统(CWSS)和常见缺陷分析框架(CWRAF)进行评分。
CWE Top 25于2009年首次公布,是一个免费的易于使用的缺陷列表。这些缺陷通常很容易被发现,也很容易被利用。CWE Top 25可以帮助开发人员、测试人员、用户、项目经理,安全研究人员和教育工作者深入了解当前最严重的安全漏洞。2020年的CWE Top 25于8月20日发布,排名靠前的漏洞类型分别为跨站脚本漏洞、越界写漏洞、输入验证错误漏洞等。2020 CWE Top 25如下表所示:
![CWE Top1跨站脚本漏洞安全研究]( "CWE Top1跨站脚本漏洞安全研究")
本文主要针对2020 CWETop 1跨站脚本漏洞进行安全分析。
2020 CWE Top 1 跨站脚本漏洞安全分析
跨站脚本漏洞(Cross-site scripting)为了和层叠样式表(Cascading Style Sheets,CSS)的缩写区分,安全专家将其缩写定义为XSS。跨站脚本漏洞通常指攻击者利用网站漏洞恶意窃取用户信息。用户在浏览网站、使用即时通讯软件、阅读电子邮件时,通常会点击其中的链接,攻击者通过在链接中插入恶意代码,就能够盗取用户信息。因此,攻击者利用跨站脚本漏洞可以进行钓鱼欺骗、窃取密码、传播恶意代码等多种网络攻击。
类型1:反射型XSS。客户端发送请求到服务器端,服务器在没有验证请求中信息的情况下,就对HTTP请求进行了处理,从而导致原本正常的网页被嵌入了恶意代码。传递恶意代码最常见的机制是将其作为参数公开发布,或直接通过电子邮件发送到用户的URL中。
类型2:存储型XSS。攻击者首先将恶意代码存储在数据库中,例如:论坛、访客日志、留言板等;然后当其他用户读取的应用程序中包含恶意代码的动态信息时,会导致恶意代码释放,导致网络攻击的发生。
类型3:DOM型 XSS。DOM-XSS漏洞是基于文档对象模型(Document ObjeetModel,DOM)的一种漏洞,基于 DOM的XSS不需要和后台进行交互,攻击者通常通过URL中参数传入和搜索框输入进行攻击。
近些年,随着人工智能、云计算、大数据等技术的发展,信息技术(IT)与操作技术(OT)不断融合,IT/OT一体化在拓展了工业控制系统发展空间的同时,也带来了工业控制系统网络安全问题,传统IT的安全威胁不断涌向工业控制系统。攻击者可以利用跨站脚本漏洞(XSS)通过IT办公网直接攻击到OT生产网。下面通过2020年工业控制系统跨站脚本漏洞进行分析:
2020年2月,美国罗克韦尔(Rockwell Automation)公司一款管理系统中心软件WIN-PAK存在跨站脚本漏洞(CVE-2020-7005),CVSSV3.0分数评分高达8.1分,为高危漏洞。从基本分数来看,该漏洞对工业控制系统的可用性、完整性、保密性的影响程度均为高。攻击者成功利用该漏洞,受影响的产品易受到跨站请求伪造的攻击,使得攻击者可以远程执行任意代码,对工业控制系统将造成较为严重的影响。
图1 CVE-2020-7005漏洞CVSS V3.0评分
2020年8月,德国西门子(SIEMENS )公司的SICAM A8000 RTUs的SICAM WEB固件中存在跨站脚本漏洞(CVE-2020-15781),该漏洞是典型的存储型XSS,CVSS V3.0分数评分高达9.6分,为高危漏洞。攻击者特制带有恶意代码的日志消息,当用户通过Web浏览器查看日志消息时,日志消息会被Web应用程序执行,损害Web应用程序的机密性、完整性和可用性。
图2 CVE-2020-15781漏洞CVSS V3.0评分
-
-
-
不随便点击电子邮件中的Web链接或未经验证的附件;
-
在生产网和办公网之间部署工业防火墙,将工业控制系统与互联网隔离开。
1. https://cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html
2. https://cwe.mitre.org/data/definitions/79.html
3. https://us-cert.cisa.gov/ics/advisories/icsa-20-056-05
4. https://us-cert.cisa.gov/ics/advisories/icsa-20-224-08
![CWE Top1跨站脚本漏洞安全研究]( "CWE Top1跨站脚本漏洞安全研究")
评论