原创 | Fanuc数控系统安全研究(附视频)

  • A+
所属分类:安全文章

一、Fanuc数控系统

Fanuc(发那科)是世界上专业数控系统生产厂家,其数控系统产品多年来在全球市场的占有率一直保持领先地位。Fanuc Series的0i-MD和0i Mate-MD是两款应用尖端技术的超小型、高精度、高可靠性的数控CNC系统,拥有先进的数字伺服技术,可实现高质量加工。

奇安信巽丰工控安全实验室搭建的智能制造研究平台如下所示,该研究平台展示了从PAD下单到最终成品交付给客户的印章制作生产过程。该研究平台包括:发那科数控系统、沈阳机床、两款机器人(埃夫特和ABB)、激光打标机和西门子S7-1500PLC等工业自动化设备。结合数字孪生系统将整套智能制造系统中的设备状态同步展现在PC端,工作人员可远程查看整个系统的运行状态。

原创 | Fanuc数控系统安全研究(附视频)

二、信息获取

Fanuc数控系统如下图所示:

原创 | Fanuc数控系统安全研究(附视频)

对该系统基于nmap进行端口扫描,发现只开放TCP8193端口。

原创 | Fanuc数控系统安全研究(附视频)

Fanuc的编程软件是如下图所示的FANUC LADDR。

原创 | Fanuc数控系统安全研究(附视频)

该编程软件与数控系统之间的通讯协议,即Focas协议,Wireshark并未提供解析插件,属于某种程度的私有协议。

原创 | Fanuc数控系统安全研究(附视频)

此外,互联网上与该设备漏洞相关的有价值信息几乎为零。

三、Focas协议

奇安信巽丰工控安全实验室对该系统唯一暴露的TCP 8193端口,即Focas协议,展开研究:

步骤1:确定编程软件对数控系统的操控能力,明确都可以对该数控系统执行哪些操作

原创 | Fanuc数控系统安全研究(附视频)

步骤2:分析该编程软件的通讯组件,虽然没有找到源码,但是找到了C#版的实现方式。通过VS编程环境可进一步分析其内部的数据结构,可以对Focas协议数据进行解析。

原创 | Fanuc数控系统安全研究(附视频)

步骤3:捕获Focas库与数控系统通信的代表性通讯报文,并结合对C#版本Focas通讯组件的分析,获得Focas报文格式如下所示:

原创 | Fanuc数控系统安全研究(附视频)

对21号功能码进一步分析,得到如下结构。更详细的协议规范,受限于文章篇幅,不再展开。

原创 | Fanuc数控系统安全研究(附视频)

四、安全分析

4.1启停分析

奇安信巽丰工控安全实验室通过对Focas协议进行分析,发现该协议无认证、未加密,也不存在会话控制等安全机制,存在重放攻击的安全隐患。巽丰工控安全实验室对工控安全领域常见的Start/Stop进行研究,发现Fanuc数控系统在Start/Stop方面与常规工控PLC相比,仍然有其特殊之处:

当按住如下红色圆圈所示按钮,进行Stop攻击,会锁定系统状态,只能在当前所在的轴运动;

当不按住红色圆圈所示按钮时,进行Stop攻击,会影响运动控制,即面板功能失效。

原创 | Fanuc数控系统安全研究(附视频)

综上所述:Fanuc数控系统的Stop攻击,不仅与流量相关,而且与系统当前所处的状态也有关系。

4.2Fuzz测试

奇安信巽丰工控安全实验室基于分析获得Focas协议规范后,进一步对Fanuc数控系统的TCP 8193端口进行Fuzz测试。研究发现,通过向Fanuc数控系统的TCP 8193服务,持续发送一系列精心构造的畸形数据包,可导致数控系统的网络协议栈工作异常。具体地说,数控系统完全无法与外界进行正常通信,不仅TCP 8193服务异常,也不能对ping包进行正常响应。该漏洞被触发后,导致工作人员既不能通过网络操作数控系统,也无法获取数控系统内部任何参数信息,从而使数控系统成为“孤岛”。只有通过冷启动(强行断电后重新上电,启动设备)地方式使数控系统恢复正常。

原创 | Fanuc数控系统安全研究(附视频)

五、漏洞上报

奇安信巽丰工控安全实验室积极尝试直接向Fanuc厂商沟通上述PDoS(Permanent Denial-of-Service)类型漏洞,但是没有找到Fanuc厂商对外的产品安全事件响应PSIRT部门的联系方式。

巽丰团队通过与CVE组织沟通,获得日本情报处理推进机构

IPA(https://www.ipa.go.jp/)的联系方式,并尝试借助IPA与Fanuc厂商详细沟通该PDoS漏洞,IPA在接收到报送请求后,高度重视该漏洞,并迅速联系到了Fanuc厂商。

原创 | Fanuc数控系统安全研究(附视频)

在IPA的协助下,巽丰团队多次与Fanuc厂商的技术人员沟通此漏洞的细节,最终经Fanuc厂商技术人员确认,巽丰团队发现的PDoS漏洞影响面较大。在此漏洞修复之后IPA在JVN(Japan Vulnerability Notes,由JPCERT协调中心和IPA共同运营的一个漏洞信息门户网站,旨在通过为日本使用的软件产品提供漏洞信息及其解决方案来帮助确保Internet安全)上发布了该漏洞的报告,并在报告中对奇安信巽丰工控安全实验室的工作表示认可。

原创 | Fanuc数控系统安全研究(附视频)
原创 | Fanuc数控系统安全研究(附视频)

同时,IPA将该漏洞相关信息同步到CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12739,并引用了IPA发布的漏洞报告JVN:JVN#84959128

原创 | Fanuc数控系统安全研究(附视频)

在国内,奇安信巽丰工控安全实验室也与国家权威机构积极沟通这个漏洞,公开其安全隐患。由于工控漏洞,尤其是数控漏洞,在攻击技术与漏洞影响等方面,与传统IT漏洞相比都存在较大差异,因此沟通过程也较为仔细慎重。

原创 | Fanuc数控系统安全研究(附视频)
原创 | Fanuc数控系统安全研究(附视频)

通过与CNVD进行仔细沟通,奇安信巽丰工控安全实验室最终获得CNVD认可,并获得CNVD针对该漏洞颁发的原创漏洞证明的证书。

原创 | Fanuc数控系统安全研究(附视频)

六、附录

智能制造场景视频



转载请注明来源:关键基础设施安全应急响应中心

原创 | Fanuc数控系统安全研究(附视频)

本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | Fanuc数控系统安全研究(附视频)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: