CISA（美國網(wǎng)絡安全和基礎設施安全局）近日發(fā)布安全警告稱，黑客通過侵入在線暴露的Unitronics可編程邏輯控制器(PLC)入侵了美國賓夕法尼亞州阿利基帕市的供水設施，試圖提高水泵壓力，導致該市水務部門被迫關閉系統(tǒng)，斷開PLC的互聯(lián)網(wǎng)連接，切換為手動操作。

PLC（可編程邏輯控制器）是工業(yè)網(wǎng)絡環(huán)境中至關重要的控制和管理設備，也是工控系統(tǒng)安全的“紅線”和最后一道防線，黑客一旦入侵PLC可能會造成嚴重后果，例如通過操縱設備改變化學劑量而造成供水污染。

在2021年的一次攻擊中，一名黑客侵入了佛羅里達州奧德馬爾市的水處理系統(tǒng)，并將氫氧化鈉的濃度提高到極其危險的水平（100倍），幸虧被操作員及時發(fā)現(xiàn)而未能釀成大禍。但在那次攻擊中，黑客只是通過TeamViewer軟件遠程控制操作員的電腦，并未直接控制PLC。

水務系統(tǒng)遭受網(wǎng)絡攻擊的其他風險包括系統(tǒng)中斷導致的供水中斷，以及水泵超載或開關閥門對基礎設施造成物理損壞。

CISA證實，此次針對賓夕法尼亞州阿利基帕市水務系統(tǒng)的黑客攻擊并未損害社區(qū)的飲用水安全。但在接受CNN采訪時，賓夕法尼亞州水務公司表示將替換被攻擊的以色列制造的PLC，以防攻擊事件再次發(fā)生。

CISA在安全通告中寫道：“攻擊者正在針對與供水設施相關的PLC，其中包括美國供水設施中使用的Unitronics PLC。受影響城市的水務部門立即關閉了系統(tǒng)并切換為手動操作——該城市的飲用水或供水沒有已知的風險。”

CISA強調(diào)，黑客利用了自來水公司糟糕的安全管理措施，通過人機界面(HMI)攻擊Unitronics  Vision系列PLC，而不是利用產(chǎn)品上的零日漏洞。

雖然CISA的報告沒有透露攻擊者的信息，但根據(jù)Cyberscoop的報道，此次攻擊是由伊朗黑客組織Cyber Av3ngers實施的，后者成功劫持了以色列制造的Unitronics PLC，并在電腦屏幕傷顯示了“打倒以色列”的信息。

Cyber Av3ngers堪稱“水務系統(tǒng)攻擊專家”，此前通過入侵以色列科技公司Unitronics制造的水壓監(jiān)測設備已經(jīng)入侵了以色列數(shù)十個供水系統(tǒng)。

Cyber Av3ngers在X發(fā)布的一篇推文中寫道：“一旦我們獲得了他們的網(wǎng)絡的訪問權限，就可以操縱、擦除和破壞所有工業(yè)設備，例如SCADA系統(tǒng)、PLC、傳感器和HMI?！?/p>

CISA給水務系統(tǒng)管理員的安全緩解措施是：

• 替換默認的Unitronics PLC密碼，確保不使用“1111”這樣的弱密碼。
• 為對運營技術(OT)網(wǎng)絡的所有遠程訪問（包括來自IT和外部網(wǎng)絡的訪問）實施MFA（多重身份驗證）。
• 斷開PLC與開放互聯(lián)網(wǎng)的連接。如果需要遠程訪問，使用防火墻/VPN設置來控制訪問。
• 定期備份邏輯和配置，以便在遭受勒索軟件攻擊時快速恢復。
• 避免使用默認TCP端口20256，該端口通常是網(wǎng)絡攻擊者的目標。如果可能，使用不同的TCP端口并使用PCOM/TCP過濾器以提高安全性。
• 將PLC/HMI固件更新至Unitronics提供的最新版本。

此前，CISA曾于2023年9月推出了針對供水設施等關鍵基礎設施的免費安全掃描計劃，使用CISA的代理運行專門的掃描儀，識別設施暴露在互聯(lián)網(wǎng)上的端點，并發(fā)現(xiàn)已知被黑客利用的漏洞或錯誤配置。

然后，CISA每周向訂閱用戶發(fā)送包含行動建議的報告（上圖），同時進行后續(xù)掃描以確定水務公司是否已采取必要措施來緩解先前披露的問題。

ISA（國際自動化協(xié)會）全球網(wǎng)絡安全聯(lián)盟的網(wǎng)絡安全專家和自動化工程師曾在2021年發(fā)布過一個開源工控系統(tǒng)PLC安全指南（https://www.plc-security.com/），提供了一個PLC安全清單，其中包含20條建議，用于在工業(yè)網(wǎng)絡發(fā)生安全事件或配置錯誤時提高PLC安全彈性。