企業 4G/5G 專網遭駭客入侵的威脅

5G 將是促使工業環境改革的催化劑,而企業機構正紛紛部署的 4G/5G 企業專網就是其中之一。本文將深入探討這項技術的資安風險與潛在問題。

過去 20 年來,不論各種工業或一般日常使用者,都因電信技術的突飛猛進而受惠,而目前最有可能催化未來世界變革的基礎技術就是 5G。這項技術將持續發展以及它將深刻影響某些產業的最佳徵兆,就是企業對非公共網路 (Non-public Network,簡稱 NPN) 的持續投資,也就是一般所謂的「企業專網」(Campus Network)。

4G/5G 企業專網有助於達成產業對改善可用性、降低延遲、強化隱私以及網路隔離的要求,但這類網路卻也可能衍生新的資安漏洞,因為資訊技術 (IT) 專家與營運技術 (OT) 人員缺乏充分的知識來解決電信相關的威脅以及攻擊面擴大的問題。

我們的研究報告「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的企業專網內的風險」(Attacks From 4G/5G Core Networks: Risks of the Industrial IoT in Compromised Campus Network) 深入探討了部署 4G/5G 企業專網所衍生的資安風險。我們建立了一個專用的 4G 企業專網,然後模擬各種不同攻擊情境來示範其衍生的威脅,以及企業專網該如何防範這些威脅。本篇概要敘述這份研究以及我們所測試的一些常見攻擊情境。

4G/5G 企業專網


企業專網的大小,會受到乙太網路纜線與行動通訊範圍的限制。

在這份研究當中,我們的企業專網只用了最少的裝置。核心網路只包含一個建置在內部或連線到外部行動通訊服務供應商的企業專網,基地台也只有一個 (小型單元),再加上一些其他元素:一台工業路由器、一個控制網路、一個現場網路,以及數個可程式化邏輯控制器 (PLC)。

有關我們架設的企業專網以及核心網路的組態,研究報告當中都有詳細說明。此外,研究報告也介紹了幾種不同的企業專網型態與部署選項,在這項議題上提供更完整的指示與說明。

入侵點


報告中所示範的攻擊情境都是從已遭駭入的核心網路來執行,因此我們首先說明駭客如何滲透核心網路。研究報告中點出了四個駭客入侵核心網路的可能入侵點:

  • 負責執行核心網路服務的伺服器。駭客可攻擊已知的漏洞,企業專網大多使用一般標準的伺服器 (COTS x86 伺服器)。
  • 虛擬機器 (VM) 或容器。定期套用虛擬機器與容器的修補更新有助於縮小此入侵點的攻擊面,但虛擬機器和容器通常不會定期修補。此外,有些常見的組態設定錯誤也會造成一些看不見的破口,讓駭客有機會入侵。
  • 網路基礎架構。含有未修補漏洞的基礎架構網路設備也可成為駭客滲透企業網路的破口,例如駭客可利用託管的路由器、交換器、防火牆或者甚至網路資安硬體設備來攔截網路封包。
  • 基地台。基地台若存在著漏洞,也會讓駭客有機會滲透核心網路。

從核心網路發動的常見攻擊情境


只要經由前述四個入侵點,駭客就不需具備電信技術專業能力也能從 IP 網路發動攻擊,以下說明我們測試過的一些常見攻擊情境。最重要的一點是,這些情境證明了核心網路一旦遭到入侵就可能為工業控制系統 (ICS) 端點威脅以及其他重大威脅入侵企業的破口。


MQTT 挾持

今日 ICS 大多支援透過 MQTT 通訊協定將數據傳送至雲端,MQTT 可採用密碼或 TLS 來確保安全性,但工業現場環境通常不會這麼做。如果駭客能夠篡改發送至雲端的監測資料或訊息,就能操弄一些分析邏輯與統計數據。此外,駭客還能攔截 MQTT 來暫時掩蓋他們在遠端據點所做的事。

我們在研究報告中利用一個模擬煉鋼廠來證明這點,駭客可攔截煉鋼廠發送感測器溫度數據的 MQTT 訊息並加以篡改,結果將使得實際溫度不斷升高,因為內部偵測到的溫度遭到了篡改,所以即使實際溫度已超出正常範圍也不會反映在外部的記錄檔中。


Modbus/TCP 挾持

遠端據點與控制網路之間通常會使用 VPN 連線,不過在未使用 VPN 或 Modbus 伺服器直接連上企業專網的情況下,駭客可撰寫一個 Modbus 解析器 (parser) 來修改封包內的 Modbus 功能代碼與資料數值。

如此可以達到類似 MQTT 挾持的效果,以煉鋼廠為例,此手法可篡改傳送至控制室 HMI (人機介面) 的資料。這樣一來,即使現場的壓力、氣流、溫度等等其實都已超出正常標準,控制室的操作人員也看不出任何異樣,進而無法精密掌控合金煉製的過程。


遠端桌面攻擊

使用遠端桌面的情況在遠端據點相當普遍,IT 人員和現場工程師大多都使用 VNC 或 Microsoft 遠端桌面 (RDP) 來溝通,儘管遠端桌面連線大多有密碼驗證可加以保護,但並不代表密碼會自動加密,須視加密選項的設定而定,萬一駭客早已掌控了入侵點設備,就能監聽 RDP 連接埠 3389 或 VNC 連接埠 5900 的流量來側錄鍵盤輸入和密碼。

例如,駭客可以在核心網路內對 RDP 發動降級攻擊就能側錄鍵盤輸入。至於 VNC,如果是未加密的 VNC 連線,其密碼就能被暴力破解並側錄鍵盤輸入。

以我們的煉鋼廠為例,駭客可經由 VNC 來進入煉鋼廠的系統,駭入之後的動作就有許多選擇,端看他們的動機為何。例如,他們可以直接攔截 PLC 的訊號或安裝勒索病毒。

以上是在我們企業專網所測試的幾種常見攻擊情境的範例,除了前述三種情境之外,研究報告當中還舉出更多攻擊情境並提供詳細的技術細節,此外也介紹了一些行動網路特有的相關攻擊情境。解決行動網路特有的攻擊情境,是企業消除 IT、OT 與電信技術之間的藩籬一個不錯的起點。

資安建議


未來的二、三年,必定有更多工業環境開始建置 4G/5G 企業專網。且不久的將來,目前的 4G 企業專網勢必也會升級到 5G。此外,為了維持競爭力,企業必須不斷進化,而這也包含了邁向 5G。

這項改變將對資安帶來巨大衝擊,同時也將影響 IT 和 OT 專家在工業環境中所扮演的角色。他們需要充實自我的知識來因應三項技術的匯流:IT、OT 以及現在的 CT (通訊技術)。以下是有關保護 4G/5G 企業專網的一般性資安建議:

  • 採用應用程式層加密 (如 HTTPS、MQTTS、LDAPS) 或任何設計完善的工業通訊協定。
  • 採用網路隔離 (如 VLAN 和 IPsec) 來保護企業專網的工業設備。 
  • 盡速套用作業系統、路由器、基地台等等所發布的修補更新。
  • LTE 和 5G 無法自動提供加密,因此請採用 VPN 或 IPsec 來保護遠端通訊管道,包括遠端據點和基地台。

除此之外,這份研究報告「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的企業專網內的風險」(Attacks From 4G/5G Core Networks: Risks of the Industrial IoT in Compromised Campus Network) 也提供了一些防範各種攻擊情境的技巧。

原文出處:Threats From a Compromised 4G/5G Campus Network  作者:Philippe Lin、Charles Perine、Rainer Vosseler