【紧急】西门子公布工控产品DoS漏洞及防护建议 CoDeSys曝两大高危漏洞

随着“互联网+制造”的工业互联网和工业4.0概念的提出,原有的独立、隔离的传统工控领域迎来了新的大数据互联时代。近几年来,越来越多的工控设备被暴露在了互联网上。而另一方面,工控系统的漏洞及攻击越来越多的出现,最近勒索软件ClearEnergy和Scythe也盯上了工控系统(点击“针对PLC、SCADA的工控勒索软件悄然兴起”详见)。

2017年5月9日,西门子及美国ICS-CERT均发布了三份通告, 总共涉及4个安全漏洞。其中两个公告描述了受影响的产品,这些产品使用了 profinet 发现及配置协议DCP。西门子也已经发布了一些工业产品的软件更新, 包括 simatic 和 scalance, 以修补几个中等严重性DoS漏洞

西门子工控安全漏洞影响范围

绿盟科技工控安全团队曾用SCL语言实现了工控蠕虫病毒的Duan JinTong、ma ShaoShuai 和Cheng Lei 向西门子报告了这些漏洞。

  • CVE-2017-2680:西门PLC xx-xxx,xxxx, xxxx等设备拒绝服务漏洞(影响范围很大)

  • CVE-2017-2681:西门子xx-xxx PLC拒绝服务漏洞(只影响个别产品)

  • CVE-2017-6865:西门工控软件拒绝服务漏洞(影响很多西门子工控软件)

这些漏洞通过发送特制的 profinet dcp 广播数据包, 网络访问的攻击者可以利用不正确的输入验证造成的缺陷, 从而导致设备上的 dos 状态。在攻击后恢复系统需要手动干预。

在西门子的安全公告中,将如上漏洞标识为 SSA-275839 工控产品DoS漏洞 及 SSA-293562 工控产品漏洞,虽然没有公开进一步的技术细节,但从公告中可以看得出:

  • SSA-275839 工控产品DoS漏洞,一些工业产品受到一个漏洞的影响, 在某些情况下,攻击者可能通过 profinet  dcp 网络数据包,形成DoS攻击。

  • SSA-293562 工控产品漏洞,几个工业设备受到两个漏洞的影响, 在某些情况下,攻击者可能通过 profinet dcp 网络数据包,形成DoS条件。

受影响产品包括: SIMATIC通信处理器、模块、PLC、识别系统、HMI面板和远程服务产品;SCALANCE路由器、交换机和防火墙;SITOP电力供应模块;天狼星继电器。一些SIMOCODE, SINAMICS, SIMOTION, SINEMA, SINAUT以及SINUMERIK产品也会受到影响。

受影响系统和软件包括:SIMATIC WinCC SCADA 系统、 WinCC Runtime Professional 可视化平台和  WinCC (TIA Portal) 专业工程软件。

西门子防护建议——VPN来保护网络通信

西门子在安全公告中表示:已经发布了一些受影响产品的更新, 正在为余下的受影响产品进行更新,并建议采取具体的对策, 直至可用的修补程序更新完成。

西门子的建议包括使用VPN来保护网络通信, 并强调了cell保护和 defense-in-depth的 概念。再次建议用户要认真参考长达44页的《工业安全运营指南》。

CoDeSys曝两高危漏洞 百万工控设备受影响

2017年4月,德国3S公司研发的工控PLC软件开发环境CoDeSys被曝两个高危漏洞,百万台应用该系统的PLC可能受到攻击。

  • CVE-2017-6027:该漏洞允许黑客通过发送特制请求将任意文件上传到 CoDeSys Web服务器,漏洞可以导致控制器执行任意代码。

  • CVE-2017-6025:基于堆栈的缓冲区溢出漏洞:处理XML函数字符串大小在被复制到内存之前未被正确检查。黑客可以利用此漏洞来使控制器崩溃或执行任意代码。

CoDeSys软件应用于全球数百家品牌的PLC和其他产品,使用CoDeSys开发系统的设备超过一百万台。其中,所有应用CoDeSys 2.3和之前版本的控制设备都可能受到攻击。

可能的攻击方式:

1.黑客使用搜索引擎(如可怕的Shodan)来识别直接连接到互联网的设备,然后远程利用漏洞。

2.通过企业IT网络渗透工业信息网络,访问控制设备,或通过社会工程/内部人员使用usb直接访问控制器,上传可利用漏洞的恶意软件。

3.黑客利用漏洞安装后门,进行工业间谍活动,或勒索企业,可能造成的后果包括机密数据丢失、停产甚至生产安全事故。

漏洞主要影响CoDeSys WebVisu可视化软件的Web Server组件,可造成PLC等控制器逻辑变更、崩溃停机,导致企业机密数据丢失、停产甚至生产安全事故。

防护建议:

1.确保所有工业控制设备不要直接连接互联网!!!

2.部署工业网闸,做好企业办公信息网与工业控制网络间的分区隔离,避免黑客纵向渗透。(工业防火墙是非常必要的,必要的,必要的!!!)

3.及时更新CoDeSys漏洞补丁

值得注意的是,制造商必须将CoDeSys补丁应用于自己的代码重新编译固件,形成补丁再更新发送给用户,所以据预估此漏洞的危害可能存在相当长的一段时间,建议企业从提升自身网络安全性入手,将漏洞威胁降到最低。