在過去一年,對重要基礎設施所進行的攻擊吸引了大眾的注意。2015年12月對三家烏克蘭地區電廠所進行的遠端網路入侵造成了約22,5000戶停電。惡意軟體(像是 BlackEnergy)被開發來專門針對系統監控和資料採集(SCADA)系統。更具體地說,敵人專注在取得對人機界面(HMI)的控制,這是管理操作控制系統的入口。
經由分析ICS-CERT所發布的公告及我們零時差計畫(ZDI)內全世界研究人員所提供的漏洞,就能夠清楚地了解受攻擊面是人機介面(HMI)軟體,下圖強調了這些發現:
圖1、SCADA 人機介面(HMI)軟體的常見漏洞
記憶體損毀漏洞是此類軟體最常見的漏洞類型 – 在可確認的問題中占了20%。這類漏洞包括堆疊緩衝區溢位(stack-based buffer overflow)、堆積緩衝區溢位(heap-based buffer overflow)和越界讀寫(out-of-bound read and write)。更糟的是,這些軟體套件中許多都沒有啟用常見於大量佈署軟體(像是瀏覽器)的軟體漏洞攻擊解決方案。
另一種常見弱點跟關鍵帳號管理有關,可以被遠端攻擊者用來更改設定,並可能執行遠端程式碼。一個很好的例子是CVE-2015-6456,這是指寫死在GE MDS PulseNet內的支援用帳號。這個產品被用來監控工業通訊網路內的設備。這個帳號可以讓遠端攻擊者取得完全的控制權,進而對整個系統為所欲為。有意思的是,這個支援用帳號沒有出現在使用者的管理介面上,這也表示必須要透過安裝修補程式才能停用這個帳號。
圖2、GE MDS PulseNet的ge_support帳號
像是出現在SCADA 人機介面(HMI)軟體的這些漏洞是很有價值的,因為我們正迎向著軟體漏洞攻擊的新時代。在即將發表的白皮書中,我們會詳細介紹最大幾家SCADA廠商所開發的人機介面軟體內發現的常見漏洞類型,這些廠商包括施耐德電機、西門子和奇異。這份報告將會研究開發人機界面軟體所使用技術的弱點,並介紹底層程式碼出現多嚴重的漏洞。最後,這份資料也可以提供更多指導方向給SCADA研究者,還有我們對於下一波對SCADA 人機介面(HMI)漏洞攻擊所作的預測。
點入這裡來取得更多關於在網路世界中防護工業控制系統(ICS)環境的資料。
@原文出處:Understanding the Attack Surface for Critical Infrastructure作者:Brian Gorenc