100多种西门子PLC型号容易受到固件接管的影响

安全研究人员披露了西门子 SIMATIC 和 SIPLUS S7-1500 可编程逻辑控制器 (PLC) 中的多个架构漏洞，恶意行为者可能会利用这些漏洞在受影响的设备上偷偷安装固件并控制它们。

由 Red Balloon Security 发现，这些问题被跟踪为CVE-2022-38773（CVSS 评分：4.6），严重程度较低的前提是利用需要对设备进行物理篡改。

该公司表示，这些缺陷“可能允许攻击者绕过所有受保护的启动功能，从而导致对操作代码和数据的持续任意修改” 。超过 100 种型号易受影响。

换句话说，这些弱点是由于在启动时缺乏对固件的非对称签名验证，有效地允许攻击者加载受感染的引导加载程序和固件，同时破坏完整性保护。

加载此类修改后的固件的一个更严重的后果是，它可能使威胁行为者能够持续执行恶意代码并获得对设备的完全控制，而不会发出任何危险信号。

“这一发现对工业环境具有潜在的重大影响，因为这些无法修补的硬件信任根漏洞可能导致对 S7-1500 操作代码和数据的持续任意修改，”研究人员说。

西门子在本周发布的一份公告中表示，它没有计划修补程序，但敦促客户将对受影响 PLC 的物理访问限制为受信任的人员，以避免硬件篡改。

缺少固件更新是因为支持受保护启动功能的加密方案被烘焙到专用物理安全元件芯片（称为ATECC108 CryptoAuthentication 协处理器）中，该芯片在启动期间解密内存中的固件。

因此，对设备具有物理访问权限的攻击者可以利用加密实现中发现的问题来解密固件，进行未经授权的更改，并通过物理方式或利用已知的远程代码执行缺陷将木马化固件闪存到 PLC 上。

研究人员解释说：“基本漏洞——使用专用加密处理器对 [信任根] 的不正确硬件实现——无法修补，也无法通过固件更新修复，因为硬件在物理上是不可修改的。”

然而，这家德国自动化巨头表示，它正在为 S7-1500 产品系列发布新的硬件版本，其中包含经过改进的“安全启动机制”，可以解决该漏洞。

调查结果发布之际，工业安全公司 Claroty 去年披露了一个影响西门子 SIMATIC 设备的严重缺陷，该缺陷可被利用来检索硬编码的全球私钥并完全破坏产品。

西门子 SIMATIC 和 SIPLUS S7-1500 系列 PLC 中的架构漏洞

• Red Balloon 的研究确定，西门子 SIMATIC 和 SIPLUS S7-1500 系列 PLC 中存在多个架构漏洞，攻击者可以利用这些漏洞绕过所有受保护的启动功能，从而导致对操作代码和数据的持续任意修改。

• 西门子定制的片上系统 (SoC) 不会在早期启动过程中建立坚不可摧的信任根 (RoT)。这包括在执行之前缺少对引导加载程序和固件的所有阶段的非对称签名验证。

• 未能在设备上建立信任根允许攻击者加载自定义修改的引导加载程序和固件。这些修改可能允许攻击者执行和绕过设备上的防篡改和完整性检查功能。

• 架构漏洞允许离线攻击者不仅可以解密 S7-1500 系列 PLC 加密固件，还可以生成可在 100 多种不同的西门子 S7-1500 系列 PLC CPU 模块上启动的任意加密固件。此外，这些漏洞允许攻击者持续绕过 ADONIS 操作系统和后续用户空间代码的完整性验证和安全功能。

• 已分配 CVE-2022-38773，评估的 CVSS v3 评分为 4.6。

• 由于利用此问题需要对产品进行物理篡改，西门子建议评估对目标部署中的设备进行物理访问的风险，并采取措施确保只有受信任的人员才能访问物理硬件。

• 西门子还为 S7-1500 产品系列的几种 CPU 类型发布了新的硬件版本，其中包含安全启动机制，并且正在为其余 PLC 类型开发更新的硬件版本。有关具有新硬件架构的所有 MLFB 的列表，请参阅其他信息。

• 可以在此处找到西门子的公告，其中包括针对其用户的有关解决方法和缓解措施的建议。

• 这些技术发现将于 2023 年 5 月 1 日至 4 日在 HOST 2023（IEEE 面向硬件的安全与信任国际研讨会）上公布。

原文始发于微信公众号（网络研究院）：100多种西门子PLC型号容易受到固件接管的影响