今日頭條
官方微信
官方抖音
資訊頻道據(jù)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心信息:
Positive Technologies 公司的研究員在工業(yè)網(wǎng)絡(luò)解決方案提供商摩莎 (Moxa) 制造的 EDS 和 IKS 交換機中發(fā)現(xiàn)了十多個漏洞,其中包含一個“嚴重”等級的漏洞。該供應(yīng)商已經(jīng)發(fā)布相關(guān)補丁和緩解措施。
Positive Technologies 公司在 EDS-405A、EDS-408A和 EDS-510A 中發(fā)現(xiàn)了5個安全漏洞。問題包括以明文形式存儲密碼、使用可預(yù)測的會話 ID、未對敏感數(shù)據(jù)加密、缺乏阻止暴力攻擊的機制以及可被用于發(fā)動 DoS 攻擊的缺陷。
摩莎 IKS-G6824A 系列的交換機中包含7種類型的漏洞,包括一個可導(dǎo)致遠程代碼執(zhí)行的緩沖區(qū)溢出漏洞、以明文形式存儲密碼、多個跨站點腳本問題、未能處理某種數(shù)據(jù)包類型、內(nèi)存泄漏問題、對 web 接口的訪問控制不當(dāng)以及多個跨站點請求偽造漏洞。
研究人員指出,“最嚴重的一個漏洞涉及 web 接口中的一個緩沖區(qū)溢出,可在無需登錄的情況下執(zhí)行攻擊。利用該漏洞可導(dǎo)致拒絕服務(wù)和部分遠程代碼執(zhí)行。攻擊者還可利用其它漏洞導(dǎo)致交換機永久性拒絕服務(wù)、讀取設(shè)備內(nèi)存、以合法用戶的身份在設(shè)備 web 接口執(zhí)行各種動作。”
這些安全漏洞影響運行3.8或更低版本固件的 EDS 交換機以及運行版本 4.5 或更低版本固件的 IKS 交換機。很多缺陷已在上個月得到修復(fù)。余下的漏洞問題可通過將設(shè)備配置為僅使用 HTTPS (EDS 交換機)和使用 SNMP、Telnet 或 CLI 控制臺訪問而非使用 HTTP web 控制臺(IKS 交換機)的形式得以緩解。
研究人員表示,“易遭攻擊的交換機可能意味著整個工業(yè)網(wǎng)絡(luò)遭攻陷。如果 ICS 組件是身體的組成部分,那么你可以將網(wǎng)絡(luò)設(shè)備看做連接它們的動脈。因此破壞網(wǎng)絡(luò)交互能夠降級或者完全阻止 ICS 運營。”
INSComment引石安評:
(一)我國工控系統(tǒng)的現(xiàn)狀
我國工控系統(tǒng),尤其是在一些重要的工控系統(tǒng),95%以上都是采用國外的核心硬件PLC,其相配套的工業(yè)控制軟件,也是主動國外產(chǎn)品。國內(nèi)廠商的工業(yè)控制產(chǎn)品大都缺失核心技術(shù),如果沒有國外廠商的支持和配合,工控的安全技術(shù)措施很難在現(xiàn)有的工控系統(tǒng)硬件和軟件上實施,自主的工控系統(tǒng)信息安全防御無處下手。
工業(yè)安全將是和平年代的國家戰(zhàn)略基礎(chǔ)!習(xí)主席提出“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。”將安全上升到國家戰(zhàn)略層面。同時指出:“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點攻擊的目標!”隨著國家對安全的重視,國家制訂了安全戰(zhàn)略規(guī)劃,推出了自主的國家密碼算法,鼓勵使用自主的專利技術(shù),讓工業(yè)控制系統(tǒng)的安全逐步走到國人自主的道路上來。
當(dāng)下,我國工控網(wǎng)絡(luò)安全雖然做了一些工作,但是基本上是把信息系統(tǒng)的安全措施平移到工業(yè)控制系統(tǒng)上來,主要以防火墻網(wǎng)關(guān),網(wǎng)閘為主。從結(jié)構(gòu)上來看,圍繞工控核心系統(tǒng)在外圍采取了包裹防御的策略,形成了分域防護、縱深防御的技術(shù)路線。但工控核心系統(tǒng)的安全問題仍未被觸及。實際情況是,分域防護實現(xiàn)了工控網(wǎng)絡(luò)的區(qū)域間訪問控制,但縱深防御遠未落實。
(二)我國工控系統(tǒng)安全面臨的挑戰(zhàn)
隨著人工智能技術(shù)的發(fā)展,工業(yè)物聯(lián)網(wǎng)將成為今后工業(yè)發(fā)展的重點,2019年兩會期間,國家指出了工業(yè)物聯(lián)網(wǎng)的發(fā)展方向,國家重點企業(yè)都提出了各自的工業(yè)物聯(lián)網(wǎng)發(fā)展規(guī)劃。
在今后的工業(yè)物聯(lián)網(wǎng)發(fā)展過程中,更多的工業(yè)設(shè)備被加入到工業(yè)物聯(lián)網(wǎng)中,大量設(shè)備的安全認證、數(shù)據(jù)傳輸及運行計算僅通過中心來實現(xiàn)顯然是不現(xiàn)實的,降低中心的壓力,更多計算將通過邊緣計算來實現(xiàn)。尤其對于處于工控安全核心區(qū)的防護是工業(yè)物聯(lián)網(wǎng)趨勢下,最需要首先應(yīng)對的問題。
工控應(yīng)用中,現(xiàn)有防火墻防御存在安全隱患:僅能抵御一般攻擊,但無法應(yīng)對體系化的攻擊風(fēng)險;同時,工業(yè)核心區(qū)域外圍防護較弱,一旦突破,將面臨全面失守,缺乏防御縱深;目前,嚴重依賴現(xiàn)場人員能力的自學(xué)習(xí)+人工配置,不能保證白名單是白的,可能還包含了持久化工具,導(dǎo)致安全風(fēng)險加大。
(三)基于標識公鑰體系的工控安全防御架構(gòu)
摩莎 (Moxa) 工業(yè)交互機的安全漏洞事件反應(yīng)出工控行業(yè)產(chǎn)品對安全防御的嚴重缺失,隨著工業(yè)物聯(lián)網(wǎng)的發(fā)展。僅僅采用傳統(tǒng)的安全手段去進行工業(yè)安全防御是不行的,無法對工控安全風(fēng)險做出更好的防御。
傳統(tǒng)的證書體系需要引入第三方,會造成工控安全投入與實施的難度,在實際應(yīng)用中也會帶來不便。標識公鑰體系的安全架構(gòu)使得工業(yè)物聯(lián)網(wǎng)應(yīng)用中不需要數(shù)字證書的參與,而是將物聯(lián)網(wǎng)接入設(shè)備的標識作為演算并分發(fā)公/私鑰的因子,并且公鑰的計算過程同時也是公鑰真實性的證明過程,解決了公鑰的分發(fā)與證明問題,實現(xiàn)了工業(yè)物聯(lián)網(wǎng)的輕量且去中心化的公鑰安全體系。
標識公鑰技術(shù)可以實現(xiàn)工業(yè)物聯(lián)網(wǎng)中設(shè)備之間的點對點認證,完全滿足工業(yè)物聯(lián)網(wǎng)節(jié)點多、分布廣、低功耗等需求特點,同時滿足對于證書認證無法實現(xiàn)的物聯(lián)網(wǎng)NB-IoT、LoRa等窄帶通訊的安全認證,解決了物聯(lián)網(wǎng)密鑰分發(fā)與管理的技術(shù)性難題,其安全架構(gòu)為物聯(lián)網(wǎng)的應(yīng)用建立了主動安全防御體系。
(四)保障工控安全的新一代安全交換機產(chǎn)品展望
構(gòu)建可信白名單機制: 采用標識公鑰數(shù)字簽名技術(shù)構(gòu)建可信的白名單,并對接入的設(shè)備提供有效的身份認證機制,彌補自學(xué)習(xí)和人工設(shè)定的缺陷。
為工控核心區(qū)建立訪問控制:自主可控的工控安全交換機,提供核心區(qū)的訪問控制能力,在工業(yè)現(xiàn)場實現(xiàn)基于可信白名單的工控核心區(qū)的訪問控制策略,建立縱深防御能力。
為企業(yè)/行業(yè)/國家檢測建立體系化評估規(guī)范:依托可信白名單與身份認證機制和安全工控交換機,為企業(yè)(能源/電力/交通等行業(yè))建立工控設(shè)備的安全認證機制與數(shù)據(jù)安全保護,形成工控安全領(lǐng)域的檢測與評估規(guī)范。
基于IPK標識安全技術(shù),攜手工控安全上市企業(yè)推出新一代安全交換機產(chǎn)品,采用分布架構(gòu),實現(xiàn)邊緣計算,使用國家密碼算法,自主可控,為工控安全提供全新解決方案,拓展防御縱深,保護工控核心,構(gòu)筑工控安全新防線!
來源:引石安評
北京市公安局海淀分局備案號:11010802023656號