工业控制安全：新发现三菱 PLC 的 5 个安全漏洞

日本网络安全企业Nozomi Networks Labs 发现五个影响三菱安全 PLC 的漏洞，这些漏洞与 MELSOFT 通信协议的身份验证实施有关。

第一组漏洞于 2021 年 1 月通过 ICS-CERT 向供应商披露。

第二组漏洞是最近通过相同流程披露的。

目前，这些漏洞的尚无可用补丁。供应商提供一系列缓解措施，在相应的建议中进行了描述。考虑到漏洞的潜在影响，Nozomi Networks Labs建议用户仔细评估自身安全状况并考虑应用建议的缓解措施。

因此，目前Nozomi Networks Labs表示不会透露漏洞的技术细节，也不会提供他们开发的 PoC（概念证明）来演示潜在的恶意攻击。出于对技术细节可能以某种形式披露的担忧，改为披露一般细节。这将使资产所有者没有足够的信息来评估他们的安全状况并在潜在攻击发生之前及时采取行动。

发现和披露 MELSOFT 身份验证漏洞

2020 年底，Nozomi Networks Labs 开始了 MELSOFT 的研究项目，MELSOFT 是三菱安全 PLC 和 GX Works3 使用的通信协议，相应的工程工作站软件。他们将分析重点集中在身份验证实施上，因为他们注意到来自其他供应商的类似 OT 产品在此攻击面中包含漏洞。

除了向供应商披露漏洞外，他们还主动与三菱分享了开发的 PoC 以及研究的所有技术细节。三菱分析了他们的发现，并在承认存在漏洞后，制定了修补问题的策略。

安全 PLC 或医疗设备等产品的软件更新比其他软件产品（例如您用来阅读本博客的 Web 浏览器）需要更长的时间来部署。这是因为除了开发和测试补丁之外，供应商还需要遵守特定的认证流程。根据设备类型和监管框架，每个单独的软件更新可能需要认证程序。

揭示漏洞的意义

在等待补丁开发和部署过程完成的同时，为威胁情报服务的客户部署了检测逻辑。同时，开始研究更通用的检测策略，以便与资产所有者和整个 ICS 安全社区共享。

发现的问题类型很可能会影响来自多个供应商的 OT 协议的身份验证，希望帮助保护尽可能多的系统。普遍担心的是，资产所有者可能过度依赖固定在 OT 协议上的身份验证方案的安全性，而不知道这些实现的技术细节和故障模型。

出于同样的原因，以下是对三菱安全 PLC 和 GX Works3 中发现的问题的一般描述。在这个阶段，不会专注于 MELSOFT 身份验证的所有技术细节，也不会描述开发的 PoC。相反，提供的内容应该足以让安全团队评估其自身环境的风险。

三菱 MELSOFT 认证漏洞说明

威胁模型

在本研究中考虑了两种威胁模型。

首先，攻击者是有限的，只能与目标 PLC 交换数据包。

其次，除了交换数据包，攻击者还能够嗅探工程工作站 (EWS) 和目标 PLC 之间的网络流量。

MELSOFT 认证概述

在的研究中，他们分析了 TCP 端口 5007 上的 MELSOFT。身份验证是通过用户名/密码对实现的。在这个方案中，EWS 首先发送一个包含明文用户名的数据包，并接收来自 PLC 的回复。回复包含一个字段，用于与 EWS 通信用户名是否对 PLC 有效。如果用户名有效，EWS 将发送包含从一组元素生成的散列的第二个数据包。这些元素之一是明文密码。

以下是我们发现的漏洞的高级描述。

用户名暴力破解

据我们所知，已通过一系列缓解措施解决了用户名以明文形式暴露在网络上的问题。相反，试图了解有效用户名列表是否可以通过蛮力技术显示出来。为了验证假设，他们实施了一个 PoC，结果是用户名是有效的暴力破解。攻击者的限制因素是用户名的最大长度，即 20 个字符。

反密码暴力破解功能导致账户锁定机制过于严格

一旦实现了 MELSOFT 原语以执行成功的身份验证，就使用密码暴力破解器扩展初始 PoC，给定一个有效用户，反复尝试密码组合，直到找到正确的密码组合。幸运的是，在这种情况下，有一个反蛮力机制可以有效地阻止攻击者。但是，该机制的实施过于严格。它不仅阻止使用单个 IP 的潜在攻击者，还阻止来自任何 IP 的任何用户在特定时间范围内登录。

这种设计的结果是，如果攻击者向 PLC 发送数量有限的密码，足以触发反暴力保护，则有效地阻止所有具有合法凭据的用户对设备进行身份验证。如果发生此类攻击，资产所有者有两种选择：

阻止密码暴力数据包到达 PLC，然后等待时间窗口到期，然后再进行身份验证
物理重启设备，然后在重启过程完成后立即进行身份验证

密码等效泄露

他们发现了两个来自明文密码的秘密在数据包中泄露的实例。可以读取此类数据包的攻击者将能够获取此秘密并使用它成功通过 PLC 进行身份验证。由于实现身份验证的方式，此密钥在功能上等同于明文密码。实现了一个 PoC，使用这个秘密执行成功的身份验证，而不是使用明文密码。

目前正在讨论有关如何管理会话的另一个漏洞。建议资产所有者遵循本文中的缓解措施以及供应商针对前述漏洞提出的缓解措施。

通过将多个漏洞链接在一起来设计攻击场景

如果将一些已识别的漏洞链接在一起，就会出现几种攻击场景。了解这种方法很重要，因为现实世界的攻击通常是通过利用多个漏洞来实现最终目标来执行的。

在这种情况下，攻击者可以通过分析工程工作站和安全 PLC 之间的活动会话来开始其活动。通过这种分析，攻击者可以了解如何复制特权命令，然后在攻击者认为被注意到的可能性最小的时候选择合适的时机继续进行恶意活动。然后攻击者会向 PLC 询问注册用户的列表。回复还将包含每个注册用户的密码等效秘密。

下一阶段可以在最能达到最大影响的时候进行。攻击者现在可以使用真实凭据登录并更改安全 PLC 逻辑。然后攻击者可以启动密码暴力攻击，将所有人锁定在 PLC 之外。当工程师试图通过工程工作站重新访问 PLC 时，为时已晚就无法登录了，除非他们首先阻止密码暴力数据包到达 PLC。

最后，如果攻击者加倍努力并更改注册用户的密码，则别无选择，只能物理关闭 PLC 以防止潜在危害。

缓解措施：

建议资产所有者考虑以下一般缓解措施：

保护工程工作站和PLC之间的链路，使攻击者无法以明文形式访问MELSOFT认证或认证数据包。
保护对 PLC 的访问，使攻击者无法主动与 PLC 交换身份验证数据包。

可能泄露的“静态信息”是值得考虑更新的：

PLC 用户名
PLC密码

网络安全等级保护：什么是关键信息基础设施

网络安全等级保护：是网络安全工作的基本方法

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：网络安全等级保护工作的内涵

网络安全等级保护：什么是等级保护？

网络安全等级保护：网络安全漏洞分类分级及管理规范

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。