黑客可使用恶意代码攻击配电设备导致电力中断

Red Balloon研究人员在法国施耐德电气公司制造的Easergy P5中压保护继电器上发现了两个漏洞CVE-2022-22722和CVE-2022-22723，利用该漏洞可能会导致设备凭据泄露、拒绝服务、设备重新启动、或攻击者获得对中继的完全控制，从而导致电网失去保护。施耐德在1月11日发布了该设备的软件修复程序。

Red Balloon的发现强调了在关键基础设施中提高网络安全的必要性，其中可以远程访问的计算机网络中的漏洞“可以被加工成具有非常真实物理影响的网络武器”。

Red Balloon的CEO兼创始人Ang Cui表示，“供应商发布固件修复程序以解决这一漏洞并不会改变全局。供应商需要在安全方面做得更好。我们需要在固件中内置强大的安全性。”

Mandiant的技术经理Chris Sistrunk表示，这些风险虽然令人担忧，但不应被夸大。即使像P5这样的保护继电器发生故障，电源也可以在数小时内恢复，并向受影响的客户供电。最坏的情况是会给单个站点带来一些麻烦，比如Superdome或大型制造商。

在2016年12月乌克兰发生停电之后，一项分析显示，攻击者试图破坏保护继电器，以期延长停电时间。虽然专家表示，欧洲和美国的先进电网更难受到攻击，但如果攻击成功，修复电网可能会困难得多。

施耐德电气的继电器等设备通常位于网络防火墙之后，并且不直接连接到公共互联网，从而为运营商提供了一些安全性。但老练的黑客仍然可以找到利用这些网络中错误配置的方法，甚至绕过物理屏障，最终能够访问受保护的设备。

Cui表示，在Red Balloon的模拟中，黑客可能会同时攻击多个设备。而且由于工厂或其他用户手头的备件数量可能有限，因此对数十台设备的攻击可能会导致长时间停电，从而很容易导致没有电力的人士感到困惑和愤怒。关键基础设施中安全设备中的漏洞可能会有破坏电力的强大功能，有些甚至带来持久影响。

Red Balloon的攻击包括模拟一个勒索软件攻击施耐德Easergy P5继电器，在P5继电器的显示屏上闪烁着Shmancybear Funsomware Request！！！字样。

继电器是现代电网运行和稳定性的关键安全设备，当故障或异常电流威胁损坏设备或伤害人员时，会切断电源。

Red Balloon研究人员在法国施耐德电气公司制造的Easergy P5中压保护继电器上发现了两个漏洞CVE-2022-22722和CVE-2022-22723，利用该漏洞可能会导致设备凭据泄露、拒绝服务、设备重新启动、或攻击者获得对中继的完全控制，从而导致电网失去保护。

施耐德在1月11日发布了该设备的软件修复程序。施耐德电气发言人表示，“该公司对网络威胁高度警惕，并不断评估和改进产品和研发实践，以更好地保护产品和客户运营，使其免受网络威胁。在得知施耐德电气Easergy P5保护继电器存在漏洞后，我们立即着手解决这些问题。我们敦促该产品的用户遵循在1月11日发布的安全通知中的缓解建议，包括一个解决直接风险的软件补丁。用户应在整个运营过程中实施通用网络安全最佳实践，以保护其系统。”

CVE-2022-22722的CVSS V3评分为7.5分，是高危硬编码凭据漏洞，可能导致信息泄露。如果攻击者获取设备的SSH加密密钥，并主动控制连接到产品的本地运营网络，可能会观察和操纵与产品配置相关的流量。

CVE-2022-22723的CVSS V3评分为8.8分，是高危缓冲区溢出漏洞。当特制数据包通过网络发送到设备时，该漏洞可能导致缓冲区溢出，从而导致程序崩溃和任意代码执行。通过GOOSE的保护功能和跳闸功能可能会受到影响。

Easergy P5固件版本01.401.101包含针对这些漏洞的修复程序，建议用户尽快更新到该版本。

对于CVE-2022-22723，如果客户选择不更新到该版本，可禁用产品的GOOSE服务以降低暴露风险。如果应用程序需要GOOSE，请仅在安全的局域网中使用。

在将这些补丁应用到系统时，客户应该使用适当的补丁方法。施耐德强烈建议在测试和开发环境或离线基础架构上使用备份并评估这些补丁的影响。

此外，施耐德强烈建议遵循以下网络安全最佳实践：

参考资源:

【1】https://www.bloomberg.com/news/articles/2022-01-11/researchers-show-how-hackers-can-cut-the-lights-with-rogue-code

【2】https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03