经过安全认证的关键基础设施设备仍然满是漏洞

admin
admin
admin
140350
文章
117
评论
2023年4月2日11:46:00评论84 views字数 140阅读0分28秒阅读模式
经过安全认证的关键基础设施设备仍然满是漏洞
安全研究人员发现,关键基础设施中所用的设备满是漏洞,可导致拒绝服务、配置篡改和远程代码执行
而且,大多数此类运营技术(OT)产品(包括工业控制系统及相关设备)都号称经过了安全认证,但其中一些实际上并没有。
在一篇题为《关键基础设施设计不安全》的预印本论文中,Forescout安全研究员Jos Wetzels和Daniel dos Santos,以及德国克劳斯塔尔工业大学安全IT系统教授Mohammad Ghafari,在工业技术制造商的产品中发现了53个通用漏洞与暴露(CVE),其中一些是微小漏洞,另一些则是严重漏洞。
这些缺陷源自基本安全设计失败,其中一些可能会导致严重后果。
研究人员审查了来自十家不同主流供应商的45条OT产品线,产品应用范围涵盖政府、医疗保健、供水、石油和天然气、发电、制造业、零售业及其他行业。通过对产品进行逆向工程,研究人员发现了未经验证的协议和弱密码等不良做法。
这些产品的供应商包括:本特利内华达、艾默生、霍尼韦尔、JTEKT、摩托罗拉、欧姆龙、菲尼克斯、西门子、横河和施耐德电气。
论文计划在5月份的IEEE/ACM安全物联网研讨会上发表,三位作者在论文中表示:“我们发现,每个产品中都至少存在一个微小漏洞。我们总共报告了53个缺陷,包括几个严重漏洞,可导致拒绝服务、配置篡改和远程代码执行等后果。”
超过三分之一(21个)的CVE可助力黑客进行凭证盗窃。另有18个CVE涉及数据篡改,其中13个可导致固件篡改。还有10个CVE提供了远程代码执行途径。
实现远程代码执行的方法之一就是通过固件篡改。
三位作者表示:“我们检查的设备中只有51%设置有某种形式的固件更新验证机制,即便某些情况下是硬编码凭证的形式。78%的设备没有实现加密固件签名。”
研究人员解释道,涉及到的大多数软件组件(84%)都是用C++编写的,这种编程语言通常比C或.NET更为繁复;而且,尽管通常采用专有文件格式,固件却依赖C和C++混杂的代码,没有加密或混淆处理。
涉及到的硬件架构包括:Arm(31%)、x86(26%)、PowerPC(24%)、SuperH(12%)和其他(7%)。固件架构包括:VxWorks(22%)、QNX(14%)、Linux(13%)、WinCE(9%)、OS-9(4%)、ITRON/TKERNEL(4%),另有11%使用自定义操作系统,23%使用其他操作系统。
三位作者指出,自己遵循了负责任披露的惯例,但一些制造商对调查结果表示了异议。五起异议案例中,研究人员接受了供应商的回复,撤销或缓和了披露,或者调整了披露的时机。而在至少十起异议案例中,研究人员与供应商各执己见无法达成一致,导致一些公共CVE没有供应商参与。
通过开源查询(例如使用Shodan搜索引擎),三位作者确定,有大量潜在脆弱系统暴露在互联网上。
意大利的暴露设备数量位居榜首(1255台),其次是德国(440台)、西班牙(393台)、法国(376台),瑞士(263台)和美国(178台)。
以通过了工控系统安全标准IEC 62443认证但不合格的产品为例,研究人员在论文中表示:“令人担忧的是,这些产品中很多都经过了认证,但存在本应在认证过程中发现的漏洞。这表明,除了标准可能没有涵盖的内容,即使标准确实涵盖的内容,实际操作中也未必总能面面俱到。”
拜登政府在最近发布的《国家网络安全战略》中纳入了保护关键基础设施的必要性。这一目标显然仍在努力达成的路上。
研究人员表示:“我们得出的结论是,尽管十年来一直在努力改善OT安全,但即使是经过安全认证的产品,OT设备仍然存在设计不安全的问题。”

来源:数世咨询

| 往期推荐:
TOP10!移动应用数据安全威胁
一图读懂国家标准GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》
重要发布!四部门发布关于开展网络安全服务认证工作的实施意见
调查:网络安全培训不充分,会给公司带来哪些风险?
微软的ChatGPT“屠龙刀”砍向网络安全
经过安全认证的关键基础设施设备仍然满是漏洞

原文始发于微信公众号(内生安全联盟):经过安全认证的关键基础设施设备仍然满是漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月2日11:46:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   经过安全认证的关键基础设施设备仍然满是漏洞http://cn-sec.com/archives/1646925.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息