《Black Hat 黑帽大會精選》工業物聯網 (IIoT)漏洞

•    作者:趨勢科技CISA 基礎架構策略副總裁:William “Bill” Malik 

在 Black Hat USA 2020 駭客大會上,趨勢科技發表了兩場關於工業物聯網 (IIoT)漏洞的演講。第一場討論的是某些工業機器人專用程式語言的弱點,第二場則是探討通訊協定閘道的漏洞。任何正在採用工業機器人的企業,以及任何採用多重廠牌設備的 OT 環境,都應該認識這些攻擊威脅。

以下是兩場演講的重點摘要。

當機器人被駭客入侵

今日的工業機器人大多內含功能強大完整的電腦,但工業機器人不如今日絕大多數電腦的地方是,它們連最基本的資安措施都沒有。首先,在架構層次上,工業機器人缺乏任何指令限制或記憶體隔離機制。換句話說,任何程式都能修改任何部份的記憶體或執行任何指令。在傳統的大型主機裡,沒有任何一個應用程式可以存取、修改或執行另一個應用程式或作業系統內部的指令。就連智慧型手機作業系統也有權限管制,例如,應用程式若要存取智慧型手機的相機,必須先取得相機的權限才行。但工業機器人卻允許任何程式碼讀取、存取、修改或操作任何與該系統連接的裝置,包括時鐘。如此一來就無法確保工業機器人的資料一致性,也無法檢查故障,除錯將變得異常困難。

除此之外,工業機器人並非使用像 C 或 Python 這類常用的程式語言,而是每家廠商都有自己專屬的程式設計語言。這表示,專精某廠牌工業機器人的技術員不一定就會使用另一廠牌的機器人,除非經過訓練。市面上並無通用的資安工具可以檢查這類程式碼,因為資安廠商不會針對利基市場開發對應的產品。這些程式語言主要用來操控機器人的動作,也支援讀取和寫入資料、分析和修改檔案、開啟和關閉輸出/輸入裝置、透過網路傳送接收資訊,以及存取和變更相連感測器的指示狀態。一旦程式在機器人內部執行之後,電腦能做的事,程式都能做,完全沒有任何安全控管。現代化工業機器人並無任何防範這類威脅的措施。

絕大多數使用工業機器人的客戶都不是自己撰寫程式。工業機器人程式的供應鏈牽涉到許多第三者 (請參閱「圖 1」)。在每一個社群裡,同一廠牌程式語言的使用者會透過非正式管道彼此分享程式碼,此外也透過使用者社群來搜尋一些日常工作的相關解答和祕訣,但這些論壇卻很少討論安全措施。許多企業都會聘僱外包廠商來建置某些流程,但這些專用程式語言卻無任何相關資安認證。絕大多數程式設計師都是在非連網的獨立環境中學習如何撰寫程式,因此需要靠一些實體的疆界來保護使用者與程式碼的安全,將不安全的使用者與程式碼隔絕在外。這些語言並無任何程式碼掃描工具可用來發掘程式的潛在弱點,例如:未檢查輸入資料、修改系統服務、變更裝置狀態,或是取代系統功能。這些設備並無軟體資產管理能力,因此無法確切掌握某個程式元件的來源。




圖 1:工業機器人程式設計供應鏈。

不過,儘管如此,我們也不必感到絕望。就短期而言,趨勢科技研究機構 Trend Micro Research 已經開發了一套名為「OTRazor」的靜態程式碼分析工具,可檢查機器人程式碼中一些不安全的程式設計習慣。我們在 Black Hat 的演講也示範了這套工具。

長遠來看,廠商勢必要導入一些基本的資安機制,如:認證、授權、資料一致性與資料私密性。此外,廠商也必須在架構上設定一些限制,例如:應用程式必須要能讀取時鐘,但不能變更時鐘。應用程式不應可以修改系統檔案、程式或資料,也不應可以修改其他應用程式。不過,這樣的變化大概還需幾年的時間才會慢慢反映在市場上。在那來臨之前,資安長 (CISO) 應仔細檢查工業機器人是否有任何漏洞,對工業機器人網路實施分割,並採取一些基本的資安政策,不論是內部開發或從外部買來的軟體都一樣。

通訊協定閘道漏洞

 


工業 4.0 妥善結合了自動化與各種流程控制軟體的效益,尤其是企業資源規劃 (ERP) 以及涵蓋更為廣泛的供應鏈管理 (SCM)。藉由結合動態的工業流程控管與超高效率的及時 (just-in-time) 資源排程,製造商就能實現最低成本、最低延遲以及最佳化生產。然而,這樣的整合程度需仰賴 IIoT 裝置與其他技術溝通,包括其他廠牌的 IIoT 裝置與一些傳統設備。由於每種廠牌的設備或裝置可能都有自家專屬的通訊協定,因此工業 4.0 相當仰賴通訊協定轉換器。

通訊協定轉換器是一種單純、高效率、低成本的裝置,專門將某種通訊協定轉成另一種通訊協定。儘管通訊協定轉換器非常普遍,卻連最基本的資安功能都沒有 (認證、授權、資料一致性或資料私密性)。不過由於它們位於 OT 網路的樞紐位置,駭客可入侵通訊協定轉換器來攔截通訊內容或修改組態設定。駭客可將某個安全閥值關閉、製造阻斷服務攻擊,或將某個連接的設備導向錯誤的地方。

我們在這份研究當中發現了 9 個漏洞,目前正與廠商密切合作來解決這些問題。我們透過趨勢科技的子公司 TXOne 來開發一些專門針對 IIoT 通訊流量的規則和情報,將這些規則和情報整合到我們現有的網路資安產品,讓系統管理員更能掌握 OT 網路內部的可視性並強制貫徹資安政策。

通訊協定轉換器是一個廣大的受攻擊面,因為他們原生的資安能力相當有限。它們既不會查驗訊息的發送端與接收端,也不會掃描或檢驗訊息的內容。但由於他們位於 OT 網路關鍵位置,所以歹徒視它們為絕佳的攻擊目標。所有使用通訊協定轉換器的企業,尤其是準備邁入工業 4.0 的企業,都必須妥善保護這些在基礎架構演變過程當中相當重要、卻又相當脆弱的元件。

發表於 Black Hat 駭客大會,相關研究報告如下:https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/lost-in-translation-when-industrial-protocol-translation-goes-wrong.