作者 | 绿盟科技格物实验室 田泽夏
2019年末,ClearSky的研究人员发现了一起由伊朗攻击者发起的针对以色列的攻击行动。攻击者利用VPN中漏洞成功攻陷了包括以色列在内的全球多个IT、电信、石油和天然气、航空、政府和安全部门的公司网络。这些被利用的VPN漏洞并没有多么的神秘,都是已经被各官方修复的N-day漏洞,如Pulse Secure VPN, Fortinet VPN以及最新的Citrix等。相比于0-day漏洞来说,工业控制系统(ICS)更易受到N-day漏洞的攻击,并且难以避免。
N-day漏洞,用来区别于大家更熟悉的0-day漏洞,是指已经被开发人员或厂商知悉的安全漏洞,针对这些漏洞已经发布了相关的补丁或者是正在准备推出相应的更新进行修复。相比于更加稀有的0-day漏洞,N-day漏洞往往不需要攻击者花费太大的精力,只需要通过对比更新前后的二进制文件来定位漏洞的位置,并找出所需的漏洞信息。
一般来说,每当一个新的CVE被分配时,0-day漏洞就会转变为N-day漏洞。随后,受影响的软件供应商或硬件制造商便会发布补丁。此过程通常还涉及与第三方软件提供商合作以实施修补程序。如果这些第三方没有发布补丁,则用户和组织都有可能容易受到攻击。
对于ICS来说,这些补丁往往因为多种原因无法及时有效地传达至用户/组织的系统/设备上。
任何大型网络都有遭受N-day攻击的风险。工业环境所具有的一些特性使其区别于其他网络环境,显得尤为脆弱。这些特性如下:
与IT系统不同,ICS无法轻松地进行脱机更新。例如,这些系统的停滞可能会破坏成千上万的企业和家庭所依赖的关键基础架构,例如水电设施。它甚至可能威胁到公共安全。正因如此,这些机构需要尽可能的保持系统稳定在线。大多时候,相比于N-day漏洞【可能】带来的危害,这些关键系统脱机所带来的损失更值得极力避免。
ICS与IT系统不同。前者使用专有协议,这使工业系统很难甚至不可能彼此之间自动通信。因此,ICS组织通常需要按照每个供应商的不同需求来手动打补丁。这些需求往往因为各个供应商的关注点不同而变的十分繁琐,导致有效的补丁很难及时到位。
就像上一点说到的,由于工业系统采用了不同的专有协议,补丁往往不会在供应商之间传播,即使他们有使用共享的代码。工业领域的供应商会根据不同的时间计划来进行软件修复。因此,即使发布了补丁,组织的工业资产仍然可能很脆弱,无法获得有效的修复程序。
由于部署成本问题,使用ICS的组织一般会间隔多年一次性部署多项ICS资产。这样做虽然能有效降低部署成本,但这些资产的使用时间通常会超出其支持时限。这意味着供应商即使发布了软件修复程序,也不会将安全更新提供给这些较旧的产品,从而使ICS中存在大量的“过期产品”。
研究人员对ICS设备中的N-day漏洞进行了持续多年的研究。在过程中发现了至少数百个N-day漏洞。这些漏洞中有一些已经存在了两年以上,而许多漏洞的CVSS安全评分至少为7分(最高10分)。这些“严重”漏洞使攻击者能够远程访问组织的部分工业环境,然后重现Industroyer,TRITON,BlackEnergy等攻击带来的破坏。更严重的是,这其中许多漏洞的复杂度较低,因为攻击者几乎不需要付出任何努力就可以开发出有效的利用方法。
目前,拥有ICS的组织很难通过在线补丁修补方法来充分解决N-day漏洞的威胁,需要使用主动安全方法将网络监视工具和其他安全控件引入其工业环境,从而提前预防潜在的攻击行为,避免在被攻击后要面临的两难局面:脱机更新或是临时修补。
目前各工控厂商也都提供了有效的最佳实践方法,例如采用纵深防御策略,通过布置防火墙来将网络分段隔离,保护核心设备,避免被攻击者轻易接触。用户应配合工控厂商采用这些最佳实践策略,并通过员工培训等辅助方式来最大程度地降低被攻击的可能性。
参考链接:
https://www.tripwire.com/state-of-security/featured/n-day-vulnerabilities-ics-systems-security/
![为什么ICS环境更容易被N-day漏洞攻击]( "为什么ICS环境更容易被N-day漏洞攻击")
本文始发于微信公众号(网络安全应急技术国家工程实验室):为什么ICS环境更容易被N-day漏洞攻击
评论