安全廠商 Armis 的研究團(tuán)隊(duì)聲稱發(fā)現(xiàn)了關(guān)于 Schneider Modicon PLC 的一個(gè)漏洞(CVE-2021-22779)，該漏洞是 Modicon 統(tǒng)一消息應(yīng)用服務(wù) (UMAS) 協(xié)議的一個(gè)身份驗(yàn)證繞過漏洞，為攻擊者覆蓋系統(tǒng)內(nèi)存并執(zhí)行遠(yuǎn)程代碼敞開了大門。

這意味著攻擊者利用該漏洞不僅可以操縱 PLC 本身，還可以以硬件為跳板進(jìn)行進(jìn)一步的攻擊部署。Modicon PLC 本身廣泛應(yīng)用于能源公用事業(yè)、建筑服務(wù)、HVAC 系統(tǒng)和其他敏感系統(tǒng)，因此硬件的損壞也可能導(dǎo)致后果嚴(yán)重的物理世界的損失。

Armis 研究副總裁 Ben Seri 表示：CVE-2021-22779 本身不僅僅是一個(gè)身份驗(yàn)證繞過漏洞，該漏洞還可以讓攻擊者回滾可以阻止遠(yuǎn)程代碼執(zhí)行的安全措施。

“一方面，這是嵌入式設(shè)備中的漏洞”，Seri 解釋：“但另一方面，這也是基本設(shè)計(jì)的深度缺陷”，“PLC 在設(shè)計(jì)時(shí)就應(yīng)該考慮如何維護(hù)安全性，其次才是本身的功能運(yùn)作”。

漏洞能夠鏈?zhǔn)焦?/h3>

該漏洞涉及在開發(fā)過程中用于調(diào)試 Modicon 硬件的未記錄指令。通常，這些調(diào)試命令對(duì)用戶是鎖定的，并且只能為管理員賬戶使用。然而，存在 CVE-2021-22779 漏洞的情況下，一些命令被對(duì)外暴露出來，攻擊者使用這些命令就可以檢索管理員密碼哈希。

然后使用密碼哈希進(jìn)行身份驗(yàn)證可以解鎖更多未記錄的命令。這些命令在之前的安全更新中被鎖定在密碼保護(hù)之后，解除了密碼的限制后可以通過這些命令授予攻擊者在系統(tǒng)內(nèi)存上執(zhí)行代碼的能力。

正常情況下，系統(tǒng)內(nèi)存是不可訪問的，也無法寫入。然而，通過利用未記錄的命令，攻擊者可以在該內(nèi)存中編寫并執(zhí)行代碼。Seri 表示這十分危險(xiǎn)，因?yàn)榇蠖鄶?shù)安全檢查并不會(huì)檢查系統(tǒng)內(nèi)存是否已被更改。這使得相關(guān)的惡意軟件非常難以被發(fā)現(xiàn)。

更大的威脅

Seri 認(rèn)為，制造商未能為硬件構(gòu)建必要的保護(hù)措施，在工控領(lǐng)域可能因此而帶來更大的威脅。

他補(bǔ)充解釋，即使施耐德修復(fù)了 CVE-2021-22779 漏洞，該公司的 UMAS 協(xié)議仍是非常有風(fēng)險(xiǎn)的，因?yàn)槠溟_發(fā)人員從未想過正確加密 PLC 和管理員 PC 之間的連接，為中間人攻擊也提供了便利。

Seri 同時(shí)表示，此類的安全漏洞，施耐德電氣并不是唯一一家。在許多情況下，PLC 的制造商都忽略了內(nèi)置安全性，依靠外部網(wǎng)絡(luò)安全性來保護(hù)硬件免受犯罪攻擊者的攻擊。

廠商認(rèn)為安全的邊界是唯一的防御手段，一旦攻擊者突破了邊界，PLC 本身將不具備任何防護(hù)能力。

施耐德計(jì)劃在今年四季度對(duì)該漏洞進(jìn)行修復(fù)，并在未來的固件更新中對(duì)通信進(jìn)行加密。但工控領(lǐng)域的修復(fù)措施一向更新緩慢，想要真正使修復(fù)生效還要橫長時(shí)間。這可能會(huì)使得漏洞在公開后，仍然有很長一段時(shí)間的窗口期可被利用。