英国Ovarro公司TBOX RTU系列产品被曝五个严重漏洞使工业控制系统面临重大风险

一、背景介绍

TBOX RTU产品系列集RTU、PLC、Web Server功能于一体，并具有低功耗产品特性。具有一体化和背板式多种产品选项，其创新应用的Push和Web技术确保SCADA系统高效、经济的实施和运行。T-BOX RTU系列解决方案提供了新的自动化可能性，简化了系统工程，并使全球关键行业能够远程自动化，控制和监控关键资产其应用程序。

英国工业自动化公司Ovarro是这一领域的领导者，其TBox RTU广泛应用于关键基础设施，特别是在水、电力、石油和天然气、运输和加工行业，实现了对应用程序和流程的远程控制和监控。近日Ovarro修补了其TBox远程终端设备(RTU)及TWinSoft工程软件中的相关漏洞，这些漏洞会使设备暴露在互联网上，对企业构成严重风险。

根据Ovarro的说法，TBox是一个安全而强大的RTU解决方案，用于远程自动化和监控关键资产。换句话说，它允许用户通过专用的Web界面控制和监控远程过程，类似于HMI如何在一个打包的平台中控制PLC。

图1 OBoxro的TBox平台

将未受保护的关键基础设施组件连接到互联网会带来不可接受的风险，工业企业必须意识到这一点。但越来越明显的是，许多组织并没有听从研究人员的警告，即在线公开错误配置的基于web的接口，并及时缓解控制系统软件和固件的漏洞。

相对简单的配置错误(如不设置密码或保留默认密码)可能会让监控关键系统的基础设施落入脚本和高级攻击者的手中。在线工具，如Shodan互联网搜索引擎，可以快速列出连接到互联网的特定类型的机器。

Claroty的研究人员对Ovarro TBox远程终端设备(RTUs)的最新研究，揭示了几个适合这种情况的漏洞。发现高级攻击者可以利用这些漏洞绕过现有保护来访问设备并中断设备或执行代码。

与这些漏洞相关的风险不仅威胁到自动化过程的完整性，而且在某些情况下还威胁到公共安全。利用这些安全漏洞，能够找到基于web的界面，类似于HMIs，用于监视流程级别和其他工业活动。

图3 Claroty研究人员发现的基于Web的自动化界面示例2

Claroty在其《ICS风险与漏洞报告:2H 2020》中指出，新的研究人员正在关注ICS漏洞;有50个新的研究小组，在2020年下半年公布了过去两年没有公布的漏洞。一些迹象表明，攻击者正在进入网络，以展示其能力，比如2020年以色列水务局和Oldsmar攻击事件。在每种情况下，它们所利用的漏洞都可以通过改进的安全架构和访问控制和系统配置方面的基本安全方式来解决。

这一点在2020年5月的一起事件中得到了最好的体现，当时自称耶路撒冷电子军的巴勒斯坦黑客在社交媒体上发布了几篇帖子，声称可以进入以色列供水基础设施的控制系统。这些帖子包括基于web的HMIs的截图，这些截图显示该小组可以访问监控热水过程的控制系统。以色列CERT和Claroty的研究人员确定，这些系统没有密码保护，很容易被任何寻求关注或高级对手窃取。

二、漏洞情况

（一）受影响的产品

（二）漏洞描述

CVSS v3得分：8.8

该漏洞和CVE-2021-22648是Claroty研究人员发现的最严重的漏洞。使用CVE-2021-22646，攻击者可以利用TwinSoft工程软件中生成的IPK包更新在Tbox中运行恶意代码。

CVSS v3得分：8.8

此漏洞是在Tbox专有的Modbus文件访问功能中发现的，该漏洞允许攻击者读取、更改或删除配置文件。

CVSS v3得分：7.5

一个特别制作的Modbus框架可以用来崩溃TBox系统。

CVSS v3评分:7.5

攻击者可以通过通信捕获和暴力破解攻击来破解登录口令。

CVSS v3评分:7.5

TWinSoft使用自定义硬编码用户和加密硬编码密钥。

Claroty Research团队对TBox RTU的安全性进行了全面检查，发现了严重的漏洞，如果利用这些漏洞，攻击者可以使这些设备崩溃或远程执行代码。目前Ovarro已经对所有问题进行了修补，并与ICS-CERT一起发布了包含技术细节和缓解信息的建议。

Claroty公司发布的最新研究报告中表示，其团队使用开源情报来源如Shodan，收集了一些有关这些设备在线可用性的统计数据。在发现的所有联网TBox RTUs中，只有37%的设备有身份验证来保护。大多数设备都是在加拿大、德国、泰国和美国发现的。

下图描述了运行在可以直接通过互联网访问的TBox设备上的面向互联网的HTTP服务。这些HTTP服务运行HMI web接口。62.5%的用户不需要身份验证，就可以让任何访问该服务的用户控制手中的RTU，或读取设备上配置的自定义HMI面板中显示的数据。

图4 TBox RTU需要身份验证的比例

下图描述了面向互联网的设备的分布情况，这些设备通过互联网连接可访问MODBUS或HTTP服务，并按地区细分。

图5 TBox RTU设备国家分布

此视频显示了利用CVE-2021-22648、CVE-2021-22644和CVE-2021-22646三个漏洞一起可以允许在受保护的TBox RTU上执行代码。首先，使用MODBUS协议从设备读取配置文件。接下来，使用硬编码密钥提取并解密加密的密码。获取纯文本凭据后，将包含/etc/exec_test中可执行文件的恶意更新包下载到RTU。

（三）研究分析

Claroty在LT2-530(版本1.44 Build 485)和TWinSoft工程软件版本12.2.1(Build 1545)上对TBox进行了分析。TBox RTU使用默认的专有Modbus协议进行通信；可以启用SSH将文件上传到RTU并进行固件更新。

在其研究中，Claroty Research团队能够绕过并利用每个通信通道中的漏洞，最终在RTU上远程执行代码，而不考虑启用的任何安全机制。

针对TBox RTU的攻击需要以Modbus为目标，并最终使用更新包执行代码。TBox的自定义Modbus协议使用ipk包实现更新，在将带有ipk文件名的更新命令发送到RTU并将其提取到目录之前，这些文件将上传到临时文件。Claroty能够在将更新包文件发送到RTU之前对其进行修改，将任何文件写入RTU上的任何位置，包括TBox重新启动时将启动的恶意可执行文件。

专有的Modbus协议处理许多文件操作，包括读、写和删除。以超级用户身份运行的主RTU软件处理文件访问。能够覆盖RTU主配置文件，并对其进行更改或删除，使其在root访问用户恢复配置之前不稳定。

在打补丁之前，RTU上运行的TBox软件会假定它接收到的任何Modbus帧都是有效的。一个特制的Modbus数据包将会使主程序崩溃。

研究人员还能够绕过Tbox中旨在限制文件访问的全局/增强保护功能；为此，能够解密RTU和工程软件之间的通信密码，以及使用配置读取来绕过保护。

三、缓解措施

TWinSoft版本12.4和TBox固件版本1.46缓解了这些漏洞。

CISA建议用户采取以下防御措施，将利用此漏洞的风险降至最低：

往期精选