随着针对关键基础设施的攻击不断增多，许多 ICS 漏洞仍未得到修补

当工业控制系统环境面临来自新的网络犯罪集团的威胁时，超过三分之一的工业控制系统设备漏洞尚未得到修补。

• 不正确的输入验证（CWE-20）
• 访问控制不当（CWE-284）
• 将路径名不正确地限制在受限目录中，也称为路径遍历 (CWE-22)
• 缺少关键功能的身份验证（CWE-306）
• 网页生成过程中输入的不当中和，又称跨站点脚本 (CWE-79)
• 使用硬编码凭证（CWE-798）
• 基于堆栈的缓冲区溢出（CWE-121）
• SQL 命令中使用特殊元素的不当中和——又称 SQL 注入 (CWE-89)

攻击者必须对设备具有物理访问权限，并且能够与系统闪存交互，才能获取明文密码。攻击者可能会获取或窃取设备，从闪存中提取密码，然后重新使用这些凭据进行攻击。这些事件链需要物理和逻辑访问权限

美国网络安全和基础设施安全局 (CISA) 发布了1‍5 份公告，涵盖西门子、三菱电机、台达电子和 Softing Industrial Automation 的工业控制产品中的严重漏洞。其中一些漏洞的严重程度被评为高危和严重，可能导致远程代码执行。

远程代码执行漏洞可能允许访问设备和敏感信息

第一个远程代码执行漏洞是 SINEMA Remote Connect Server 的 Web 服务端点中存在的访问控制不当问题 (CVE-2022-32257)，SINEMA Remote Connect Server 是西门子的一个平台，用于管理总部、服务技术人员和已安装的机器或工厂之间的 VPN 隧道。该漏洞的评级为 9.8，影响 V3.2 和 V3.1 之前的 SINEMA Remote Connect Server 版本。

该服务的一部分 jQuery 库中还修补了一个严重性较低的跨站点脚本问题 (CVE-2020-23064)，该问题可能允许远程攻击者通过“options”元素执行任意代码。

SINEMA Remote Connect Client 组件中还修复了一个高风险漏洞。该漏洞编号为 CVE-2024-22045，可能允许攻击者访问敏感信息，因为该产品将此类信息放入未经授权用户可以访问的文件和目录中。

SIMATIC RF160B RFID 移动阅读器也发布了一个重要的软件更新，该阅读器是一种电池供电的手持终端，在许多行业中都有使用。新版本 2.2 更新解决了过去几年发现的 150 多个漏洞，其中 11 个漏洞被评为严重漏洞，可能导致代码执行。

Sinteso EN 和 Cerberus PRO EN 消防系统中修复了一个严重的缓冲区溢出问题 (CVE-2024-22039)，该问题的最高 CVSS 评分为 10.0 。该漏洞是由系统中使用的网络通信库对 X.509 证书属性的长度验证不当引起的。中间人攻击者可以利用该漏洞，他们可以拦截消防系统网络中使用的工程工具的通信，并导致以 root 身份在底层操作系统上执行任意代码。

同一网络通信库中还修复了另外两个内存漏洞，中间人攻击者可以利用这些漏洞导致服务崩溃。由于这些漏洞仅影响应用程序，而不会影响底层系统，因此它们被评为高严重性。

西门子 RUGGEDCOM APE1808 硬件平台已修复多个漏洞，其中包括三个可能导致远程代码执行的严重漏洞。该平台配备了 Fortigate 的下一代防火墙 (NGFW)。这些漏洞继承自 FortiOS，之前已在 FortiOS 中修复。

三菱电机修补了用于工厂自动化的MELSEC-Q/L 系列控制器和MELSEC 系列 CPU 模块中的多个严重远程代码执行漏洞。可以通过网络向受影响的设备发送特制的数据包来远程利用这些漏洞。

为了提升工业控制网络的安全性，PLC安全编码也是我们需要考虑的，分享PLC安全编码TOP20的实践，如需要请后台留言获取。

OT网络安全最佳实践

为了保护OT环境，实施网络安全最佳实践对于这些系统的弹性和完整性至关重要。

• 网络分段：将网络架构划分为安全区域，以控制网络流量并最大程度地减少威胁的传播。
• 访问控制和管理：严格管理对OT环境的访问权限，确保只有经过授权的人员才能执行特定操作。
• 定期软件更新和补丁管理：使所有软件保持最新状态，以防止已知漏洞。
• 持续监控威胁和异常：实施实时监控解决方案，以及时检测和响应可疑活动。
• 事件响应计划：准备应对网络安全事件的响应计划，包括恢复程序和沟通策略。
• 物理安全：保护OT系统的物理组件，防止未经授权的访问或篡改。

原文始发于微信公众号（三沐数安）：随着针对关键基础设施的攻击不断增多，许多 ICS 漏洞仍未得到修补