工控安全 | 完全隔离的网络？你的双宿主设备可能并不安全

扫码领资料

获网安教程

来Track安全社区投稿~  

赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

引言

在我们对工业控制技术（OT）和工业控制系统（ICS）环境进行安全评估时，一个经常引起注意的问题是双宿主设备的使用。

在本文中，我将介绍一次与关键国家基础设施（CNI）客户进行的 OT / ICS 安全评估，展示为何双宿主设备可能成为攻击者的重要目标。

什么是双宿主设备？

从设计上讲，双宿主设备具有多个网络接口卡（NIC），可以连接到两个或更多独立的网络。

尽管双宿主设备看起来是一种方便的解决方案，但正是这种设计使其能够在两个网络之间便捷通信的同时，也可能为威胁行为者（和渗透测试人员）提供在组织基础设施中横向移动的路径。

在不同网络之间进行桥接（通常是不同信任等级的网络）会削弱原本用于保护关键系统的隔离效果。虽然一些原始设备制造商（OEM）曾推广这种拓扑结构，但目前的推荐做法是实施适当的网络分段。

双宿主设备的类型

在 OT / ICS 网络测试中，我们通常发现双宿主设备分为三类，这三类设备具有相似但又略有差异的安全隐患：

• • Windows 主机
• • Linux 主机
• • 嵌入式系统

当这些设备跨越网络边界时，主机配置错误和安全漏洞可能被利用，从而访问原本隔离的网络。

• • 主机访问控制双宿主主机的特性意味着一旦主机被攻破，攻击者便可访问其所连接的所有网络。让人震惊的是，我们仍经常发现嵌入式系统使用众所周知的默认凭据。在 OT / ICS 网络中，许多老旧设备常因认证绕过、权限提升等已知漏洞未被打补丁，造成安全隐患。
• • 主机防火墙特别是在 Windows 主机和嵌入式系统中，常见主机防火墙被禁用或根本未启用。即便启用了主机防火墙，防火墙规则也往往过于宽松，导致出现非预期的网络访问。
• • 非预期的服务暴露某些服务原本应只对特定网络开放，但却被无意中暴露给低信任级别的网络。管理服务（如 SSH）就是常见的例子。
• • 事件日志和告警能力薄弱某些嵌入式系统缺乏将事件日志集中收集并传输至安全运营中心（SOC）分析的能力。即使具备该功能，Windows 和 Linux 主机也常未进行配置。无法及时检测和告警潜在的恶意活动，会显著增加攻击风险并延误事件响应。

案例 – 为能源领域的 CNI 客户进行 OT / ICS 安全评估

总结

我们的某个 CNI 客户委托我们对其某一设施进行现场 OT / ICS 安全评估。

我们向客户演示了如何利用其双宿主设备作为跳板，访问被隔离的网络。关键问题在于，由于固件过时导致网络服务被非预期暴露，加之明文传输的弱密码、重复密码及默认密码，这些双宿主设备可能使攻击者从非信任网络区域入侵关键控制和安全网络。

背景

在 OT / ICS 环境中开展安全评估时，我们通常推荐一种定制化、混合式的方法，结合咨询与渗透测试要素。与客户的 OT 工程团队紧密合作，有助于我们深入了解其具体环境。

客户的 OT 工程团队分享了其网络设计与拓扑图，从表面上看 OT 网络已按照 Purdue 企业参考架构（PERA）进行了良好分段。防火墙用于根据信任等级对 OT 网络进行划分，包括远程网关网络、DMZ 网络、过程网络、现场设备网络和 SIS 网络。这些防火墙已被安全配置，只允许出于合法业务功能所需的数据流通。

OT DMZ 网络

在对 DMZ 网络进行测试时，发现一个配置错误的 GPS 时间服务器仍在使用默认凭据。利用这些凭据，我们成功连接到了该设备，并发现该 GPS 时间服务器配有多个网络接口卡（NIC），其中一个为连接至现场设备网络的次要接口。

此外，GPS 时间服务器上安装的固件版本已过时，存在多个已知漏洞。一个严重的安全问题是启用 SSH 时缺乏细粒度控制 —— SSH 要么在所有接口上同时启用，要么全部禁用，无法只针对某一个接口启用。硬件厂商在较新的固件版本中才实现了这种细粒度功能。

客户并不知情，当前配置导致 SSH 服务同时在 DMZ 网络和现场设备网络上启用。客户的 OT 工程师解释称，现场设备网络中 SSH 服务的暴露是无意的，且并非出于任何合法业务需求。

我们获得 GPS 时间服务器的管理员权限后，建立了一个基于 SSH 隧道的 SOCKS 代理，从而可以在现场设备网络和 DMZ 网络之间进行横向移动。

OT 生产网络

在对 OT 生产网络进行测试期间，我们发现多个基于 Linux 的 PLC 启用了 telnet 管理服务。Telnet 是一种传统的远程 Shell 协议，不提供任何安全保障，因为其通信内容以明文形式传输。通过拦截未加密的 telnet 流量，我们捕获到了管理员访问使用的密码。该密码极其薄弱，容易记忆，因为它基于 OEM 厂商应用的名称，并被广泛重复使用。

这些 PLC 还配备了次要网络接口卡，直接连接至现场设备网络。关键是，客户对此毫不知情（更令人担忧的是，OEM 厂商也并未意识到），这些设备的配置使得 telnet 服务在所有接口上均已启用并暴露 —— 包括连接现场设备网络的接口。

在现场设备网络中意外暴露的 telnet 服务，使攻击者能够通过该接口以管理员身份访问 PLC，从而重新配置其设置，可能导致工厂内出现不安全的运行状态。此外，攻击者还可以通过该 PLC 在现场设备网络和 OT 生产网络之间进行横向移动，从而获得对 OT 生产网络中所有其他设备的网络访问权限。

OEM 厂商网络测试

在与现场 OT 工程师的交流中，我们了解到该设施中使用了多个 OEM 厂商系统和网络，这些系统独立于主要的生产控制系统运作。每个系统都有独立的远程访问解决方案，允许 OEM 厂商远程访问用于报告、配置和排除各种非生产控制系统的问题。由于客户的 OT 工程团队并不完全拥有这些 OEM 网络中的资产，因此出于显而易见的安全原因，这些网络和系统本应与现场的生产控制系统保持隔离。

然而，我们的测试发现，多个 OEM 厂商的解决方案中也存在具有次要网络接口的设备，这些接口直接连接至 GPS 时间服务器和 PLC 所使用的同一个现场设备网络。

由于 OEM 厂商解决方案的特性，供应链攻击者可以通过其网络中的双网口设备进行横向移动，从而访问现场设备网络。接着，攻击者可以通过 GPS 时间服务器进一步横向进入 OT DMZ 网络，再通过某个 PLC 横向进入 OT 生产网络。

SIS 网络测试

此前在 DMZ 测试中发现了一台工程工作站，该设备系统过时，且不符合组织的补丁更新策略。工程师使用这台工作站对安全仪表系统（SIS）进行配置，SIS 是一套关键的软硬件控制系统，用于监测设施并在发生不安全状况时作出响应。防火墙规则已配置，允许合法的工程流量穿越两道防火墙。

由于缺少已知漏洞的补丁，我们成功攻破了这台工程工作站，并获得了对 SIS 网络中主机的访问权限。通过多个双网口设备进行横向移动，位于 OEM 厂商远程接入网络的攻击者可以将 SIS 工程工作站作为攻击目标，从而进入 SIS 网络，并有可能篡改其安全功能。

总结

在此次评估过程中，我们几度感觉仿佛在参与一场 OT/ICS 的夺旗赛（CTF）——这就像是一张常见安全漏洞的清单，而这些漏洞我们在 OT/ICS 环境测试中仍然频繁遇到：

• • 使用存在已知可利用漏洞的过时固件
• • 默认、弱口令和重复使用的密码
• • 明文传输凭据的非加密协议
• • 意外暴露和未知的网络服务
• • 允许绕过安全控制的双网口设备

我们采用了咨询与定制化渗透测试相结合的混合方式，与客户紧密协作完成了此次评估。客户的 OT 工程团队在整个过程中发挥了关键作用，他们分享了对具体环境的深入了解，帮助我们识别关键资产并理解业务操作流程。尽管我们看到了不少良好的安全实践，但几个重大弱点仍使我们得以绕过关键的防火墙分段控制，在 OT/ICS 网络的关键层之间横向移动，可能严重危及整个设施的安全、运行状态和人员安全。

结论

那么……评估完成后立即采取了哪些措施？

• • GPS 时间服务器的默认密码已被修改，固件得到更新，SSH 访问也被限制到仅允许必要的网卡接口。
• • 客户将 PLC 的 Telnet 问题上报给其 OEM 厂商。最初厂商否认存在该问题，但在完成内部测试后确认漏洞存在，并迅速开发了修复方案。根据客户的变更控制流程，已启动客户端测试，并安排了在所有受影响设施中的部署计划。
• • SIS 工程工作站已更新补丁，并查明并解决了导致补丁未合规的原因。
• • 对于 OEM 厂商网络，我们建议客户紧急开展全面审查，识别所有进入和离开 OT 网络的数据流。应收集审计日志和事件日志，以实现主动的网络监测和威胁检测能力——一旦攻击者进入关键网络，必须立即发出告警！