西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

  • A+
所属分类:安全漏洞
一、西门子SIMATIC S7 300 PLC

西门子(SIEMENS)创立于1847年,是全球电子电气工程领域的领先企业。西门子S7-300系列的PLC体积小、速度快、标准化,具有网络通信能力,功能强,可靠性高的优势,西门子S7-300系列PLC作为中端PLC市场的中坚力量,占据了70%左右的市场。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

图1  西门子CPU314-2 PN/DP型号的PLC

二、漏洞说明

西门子SIMATIC S7 300系列的PLC基于私有协议S7COMM与编程工具或组态软件进行通信。目前,wireshark可以解析S7COMM的绝大部分字段,但在解析的准确性和深度方面还有一定的改进空间。由于S7-300系列的PLC具有较高的市场占有率,是工控安全研究人员的主要研究对象之一。目前该系列暴露出来的漏洞大部分是高风险指令重放(启动/停止、上传/下载等),或基于畸形数据包导致设备宕机等方面的(如下图所示)。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

图2  畸形数据包导致西门子CPU314-2 PN/DP宕机

奇安信工控安全巽丰实验室在上述研究成果的基础上,深入研究S7COMM协议,开发出针对该系列PLC进行勒索的攻击脚本。

实验过程如下所述:首先,在CPU314-2 PN/DP设备上运行Q0.3常亮的Demo工程。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

图3  攻击前Q0.3常量

然后,对CPU314-2 PN/DP设备发起攻击,基于S7COMM协议持续发送精心构造的通信过程(通信过程中伴有PLC重启操作)。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

图4  攻击过程

攻击完成后,PLC原有工程被替换为恶意攻击者篡改后的工程(此处用Q0.6和Q0.7交替闪烁表示),而且CPU314-2 PN/DP设备被加密,用户只有输入正确的口令才能对PLC中的工程进行修改

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

图5  攻击效果

详细攻击过程,可参考文章末尾的视频。

三、恢复方式

当用户的S7-300 PLC被上述过程勒索时,要么采购PLC型号指定的新MMC卡(存储卡),要么采用西门子编程器PG上的读卡槽或采用带USB接口的读卡器(USB Prommer6ES7792-0AA00-0XA0),选择SIMATIC Manager界面下的菜单File à S7Memory Card à delete选项删除MMC卡上原有内容,这样MMC就可以作为一个未加密的空卡使用了。但无论采用哪种方法,都无法对MMC卡进行解密,原MMC卡中的程序和数据都会丢失!

四、漏洞上报

发现上述漏洞后,奇安信巽丰工控安全实验室与Siemens的产品安全事件响应PSIRT部门建立了联系,并在沟通过程中使用PGP加密技术,避免出现相关漏洞信息泄露的风险。Siemens PSIRT部门在接收到报送请求后,及时联系产品的技术人员与我们沟通漏洞细节并对漏洞进行验证,经过多轮沟通之后,最终其认为S7-300设备使用的S7 协议是一种工作在可信环境中的公开协议,而因S7协议没有认证而导致的漏洞已发布对应的公告(https://us-cert.cisa.gov/ics/alerts/ICS-ALERT-11-186-01),针对此类漏洞没有提供根源上的修复方案,建议用户通过增加企业和控制系统网络的纵深防御策略来缓解。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

在国内,奇安信巽丰工控安全实验室也与国家权威机构积极沟通这个漏洞,公开其安全隐患。由于工控漏洞,尤其是PLC漏洞,在攻击技术与漏洞影响等方面,与传统IT漏洞相比都存在较大差异,因此沟通过程也较为仔细慎重。

通过与国家信息安全漏洞共享平台(CNVD)进行仔细沟通,奇安信巽丰工控安全实验室最终获得CNVD认可,并获得针对该漏洞颁发的原创漏洞证明的证书。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

同时,通过与国家工业信息安全漏洞库(CICSVD)进行沟通,奇安信巽丰工控安全实验室最终也获得了CICSVD认可,并获得针对该漏洞颁发的原创漏洞证明的证书。

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)
五、附录

攻击视频:西门子SIMATIC S7 300 PLC存在被勒索风险



原文来源:关键基础设施安全应急响应中心

西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

本文始发于微信公众号(网络安全应急技术国家工程实验室):西门子SIMATIC S7 300 PLC存在被勒索风险(附视频)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: