信息化觀察網(wǎng)

以色列兩家大型的研究人員證明，惡意黑客不僅能利用偽工程工作站接管西門子可編程邏輯控制器 (PLC)，還能讓監(jiān)視該系統(tǒng)的工程師根本發(fā)現(xiàn)不了。

西門子 SIMATIC S7 PLC 與作為工程工作站和人機(jī)接口 (HMI) 的 TIA Portal (WinCC) 軟件間采用 S7 網(wǎng)絡(luò)協(xié)議通信。以色列理工大學(xué)和特拉維夫大學(xué)的研究人員日前便逆向工程了該 S7 網(wǎng)絡(luò)協(xié)議。

最近幾年，西門子全球 PLC 市場份額超 30%，已是市場最大供應(yīng)商。所以，這些控制器很有可能被試圖破壞工業(yè)環(huán)境的惡意黑客盯上，正如 2010 年伊朗核設(shè)施遭遇的震網(wǎng)攻擊所演示的那樣。

西門子 PLC 近些年來屢曝嚴(yán)重漏洞，研究人員已經(jīng)演示過其中一些具破壞性的攻擊。

西門子控制器所用最新版 S7 協(xié)議確實(shí)采用了某些防御機(jī)制，包括加密消息完整性檢查之類應(yīng)保護(hù)通信不受惡意篡改的機(jī)制。

然而，逆向工程了該協(xié)議之后，以色列研究人員成功開發(fā)出模仿 TIA Portal 的偽工程工作站，可與西門子 PLC 交互。只要能訪問目標(biāo)公司的網(wǎng)絡(luò)和 PLC，攻擊者便可以設(shè)置這樣一個偽工作站。

專家已證明，此類偽工程工作站可以向 S7-1500 PLC 發(fā)送指令，指示其啟動或關(guān)閉。取決于控制器的用途，偽工程工作站可能造成很嚴(yán)重的危害。

不僅如此，偽系統(tǒng)還可用于遠(yuǎn)程下載惡意控制邏輯程序到控制器上。

在被描述為隱藏程序注入的攻擊中，專家成功了下載了一段惡意程序到 PLC 上，同時躲過了工程師的視線。之所以能做到這一點(diǎn)，是因?yàn)槌绦蛳螺d消息中既包含程序的源代碼，也包含將在 PLC 上運(yùn)行的二進(jìn)制（已編譯）代碼。攻擊者可以分別修改這兩種代碼，讓未編譯代碼保持原樣——這部分代碼將展示給工程師看，而對發(fā)送給控制器的已編譯代碼進(jìn)行惡意修改。

必須指出，我們的發(fā)現(xiàn)本身不是可以快速修復(fù)的‘漏洞’：該協(xié)議的面紗一經(jīng)揭開，我們發(fā)現(xiàn)，此類攻擊其實(shí)是協(xié)議所用加密設(shè)計(jì)選擇的結(jié)果。

研究人員將該攻擊方法命名為 “Rogue7”，已于 8 月 8 日在拉斯維加斯黑帽安全大會上披露。包含技術(shù)信息的相關(guān)研究論文也已發(fā)布。

收到媒體《SecurityWeek》的評論請求后，西門子稱，公司已知悉該研究，計(jì)劃發(fā)布產(chǎn)品更新以解決專家發(fā)現(xiàn)的某些問題。不過，該公司也表示，其產(chǎn)品已經(jīng)包含了安全功能，比如 Access Protection（訪問保護(hù)），應(yīng)該可以緩解此類攻擊。

該公司在電子郵件聲明中稱：西門子公司建議用戶激活這些保護(hù)功能，并應(yīng)按照發(fā)布在西門子工業(yè)安全網(wǎng)站上的操作指南來安裝產(chǎn)品。

韓國研究人員也發(fā)出了新西門子PLC漏洞警告

上個月，韓國 NSHC 的研究人員報(bào)告稱，在西門子 S7 PLC 中發(fā)現(xiàn)可用于重放攻擊的一個“零日漏洞”。

該公司向媒體透露稱，已進(jìn)入目標(biāo)公司網(wǎng)絡(luò)且可發(fā)起中間人攻擊 (MitM)的攻擊者，能夠利用該技術(shù)實(shí)施拒絕服務(wù)攻擊 (DoS)，甚至可以執(zhí)行任意指令。

NSHC 發(fā)布了一段視頻，清晰演示如何利用該漏洞造成嚴(yán)重的破壞。

但是，西門子向媒體表示，已對此進(jìn)行了內(nèi)部調(diào)查，并確定 NSHC 所發(fā)現(xiàn)的并非切實(shí)的漏洞。

研究人員似乎通過逆向工程收集的信息，開發(fā)了兼容 S7 通信協(xié)議的客戶端，只有有限的功能。

西門子公司建議 Simatic S7-1200/S7-1500/Software Controller 用戶啟用‘Access Protection’功能，防止設(shè)備未授權(quán)修改。