查看原文
其他

关键基础设施设备满是缺陷 哪怕经过安全认证

nana 数世咨询 2023-05-31

安全研究人员发现,关键基础设施中所用的设备满是漏洞,可导致拒绝服务、配置篡改和远程代码执行。

而且,大多数此类运营技术(OT)产品(包括工业控制系统及相关设备)都号称经过了安全认证,但其中一些实际上并没有。

在一篇题为《关键基础设施设计不安全》的预印本论文中,Forescout安全研究员Jos Wetzels和Daniel dos Santos,以及德国克劳斯塔尔工业大学安全IT系统教授Mohammad Ghafari,在工业技术制造商的产品中发现了53个通用漏洞与暴露(CVE),其中一些是微小漏洞,另一些则是严重漏洞。

这些缺陷源自基本安全设计失败,其中一些可能会导致严重后果。

研究人员审查了来自十家不同主流供应商的45条OT产品线,产品应用范围涵盖政府、医疗保健、供水、石油和天然气、发电、制造业、零售业及其他行业。通过对产品进行逆向工程,研究人员发现了未经验证的协议和弱密码等不良做法。

这些产品的供应商包括:本特利内华达、艾默生、霍尼韦尔、JTEKT、摩托罗拉、欧姆龙、菲尼克斯、西门子、横河和施耐德电气。

论文计划在5月份的IEEE/ACM安全物联网研讨会上发表,三位作者在论文中表示:“我们发现,每个产品中都至少存在一个微小漏洞。我们总共报告了53个缺陷,包括几个严重漏洞,可导致拒绝服务、配置篡改和远程代码执行等后果。

超过三分之一(21个)的CVE可助力黑客进行凭证盗窃。另有18个CVE涉及数据篡改,其中13个可导致固件篡改。还有10个CVE提供了远程代码执行途径。

实现远程代码执行的方法之一就是通过固件篡改。

三位作者表示:“我们检查的设备中只有51%设置有某种形式的固件更新验证机制,即便某些情况下是硬编码凭证的形式。78%的设备没有实现加密固件签名。

研究人员解释道,涉及到的大多数软件组件(84%)都是用C++编写的,这种编程语言通常比C或.NET更为繁复;而且,尽管通常采用专有文件格式,固件却依赖C和C++混杂的代码,没有加密或混淆处理。

涉及到的硬件架构包括:Arm(31%)、x86(26%)、PowerPC(24%)、SuperH(12%)和其他(7%)。固件架构包括:VxWorks(22%)、QNX(14%)、Linux(13%)、WinCE(9%)、OS-9(4%)、ITRON/TKERNEL(4%),另有11%使用自定义操作系统,23%使用其他操作系统。

三位作者指出,自己遵循了负责任披露的惯例,但一些制造商对调查结果表示了异议。五起异议案例中,研究人员接受了供应商的回复,撤销或缓和了披露,或者调整了披露的时机。而在至少十起异议案例中,研究人员与供应商各执己见无法达成一致,导致一些公共CVE没有供应商参与。

通过开源查询(例如使用Shodan搜索引擎),三位作者确定,有大量潜在脆弱系统暴露在互联网上。

意大利的暴露设备数量位居榜首(1255台),其次是德国(440台)、西班牙(393台)、法国(376台),瑞士(263台)和美国(178台)。

以通过了工控系统安全标准IEC 62443认证但不合格的产品为例,研究人员在论文中表示:“令人担忧的是,这些产品中很多都经过了认证,但存在本应在认证过程中发现的漏洞。这表明,除了标准可能没有涵盖的内容,即使标准确实涵盖的内容,实际操作中也未必总能面面俱到。

拜登政府在最近发布的《国家网络安全战略》中纳入了保护关键基础设施的必要性。这一目标显然仍在努力达成的路上。

研究人员表示:“我们得出的结论是,尽管十年来一直在努力改善OT安全,但即使是经过安全认证的产品,OT设备仍然存在设计不安全的问题。” 

《关键基础设施设计不安全》预印本论文
https://arxiv.org/abs/2303.12340


参考阅读
Gartner预计关键基础设施攻击将成致命攻击
电动汽车充电基础设施与安全
[调研]:存储系统成IT基础设施安全薄弱环

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存