信息來(lái)源:安全牛
西門子公司的一些新型可編程邏輯控制器 (PLC) 存在隱藏功能�����,使設(shè)備面臨攻擊風(fēng)險(xiǎn)。修復(fù)已提上日程。
研究人員發(fā)現(xiàn)���,某些新型西門子可編程邏輯控制器 (PLC) 的一個(gè)非正式訪問功能可被攻擊者當(dāng)做攻擊武器�����,也可成為防御者的取證工具���。
在研究西門子 S7-1200 PLC 的引導(dǎo)程序時(shí),德國(guó)波鴻魯爾大學(xué)的研究人員發(fā)現(xiàn)了該基于硬件的特殊訪問功能���。PLC 引導(dǎo)程序在設(shè)備啟動(dòng)時(shí)處理軟件更新和驗(yàn)證 PLC 固件完整性�����。
研究人員發(fā)現(xiàn)�����,使用該特殊訪問功能的攻擊者可在 PLC 啟動(dòng)的半秒內(nèi)繞過引導(dǎo)程序的固件完整性檢查,加載惡意代碼奪取 PLC 過程的控制權(quán)�����。
但此特殊訪問功能為什么會(huì)存在于這些 PLC 中仍是一個(gè)迷���。供應(yīng)商在嵌入式設(shè)備中留下隱藏維護(hù)端口的例子并非沒有�����,但西門子 PLC 中留下的這個(gè)卻讓研究人員頗為困惑����。
我們不知道為什么西門子會(huì)有這個(gè)功能。從安全角度看����,有這么個(gè)東西是不對(duì)的,因?yàn)槟阋材茏x寫內(nèi)存并從 RAM 中轉(zhuǎn)儲(chǔ)該內(nèi)存內(nèi)容���。
研究人員向西門子報(bào)告了自己的發(fā)現(xiàn)�,西門子表示正在開發(fā)漏洞補(bǔ)丁�。
該公司在媒體聲明中稱:西門子注意到了波鴻魯爾大學(xué)關(guān)于 SIMATIC S7-1200 CPU 硬件特殊訪問的研究,專家組正在開發(fā)該問題的解決方案�����。西門子公司將在安全咨詢中發(fā)布有關(guān)該漏洞的進(jìn)一步信息�����,并通過西門子產(chǎn)品計(jì)算機(jī)應(yīng)急響應(yīng)小組通信頻道通知客戶。
一個(gè)關(guān)鍵問題是:修復(fù)是否需要硬件更換而非軟件更新��。被問及此 PLC 修復(fù)是硬件還是軟件更新時(shí)����,西門子稱其 “專家正在評(píng)估可供選擇的方案?!?
不過,西門子 PLC 特殊訪問功能也不是全然沒有任何好的方面:該功能對(duì)保護(hù)設(shè)備安全的人有用��,可供 PLC 內(nèi)存取證使用�。
研究人員可使用該特殊訪問功能查看 PLC 內(nèi)存內(nèi)容,也就是說(shuō)�����,工廠運(yùn)營(yíng)商可以之發(fā)現(xiàn)自己設(shè)備上可能被植入的惡意代碼�。西門子不讓用戶查看 PLC 內(nèi)存內(nèi)容,但你可以用此特殊訪問功能查看�����。
下月在倫敦舉行的歐洲黑帽大會(huì)上�,研究人員將展示他們的研究發(fā)現(xiàn),并發(fā)布一款執(zhí)行此取證內(nèi)存轉(zhuǎn)儲(chǔ)的工具�����。
他們做了什么
在未觸發(fā)引導(dǎo)程序校驗(yàn)和檢測(cè)的情況下���,研究人員成功通過 PLC 固件更新功能向其閃存芯片中寫入了自己的代碼����。他們表示����,問題在于如何緩解此類攻擊,因?yàn)閻阂獯a可被嵌入引導(dǎo)程序閃存��。
全看西門子是否能通過軟件更新修復(fù)了�。如果西門子能用軟件修復(fù),就意味著攻擊者也可覆蓋引導(dǎo)程序內(nèi)容�,換句話說(shuō),沒辦法徹底解決此問題���。
這是研究人員要發(fā)布此固件內(nèi)容轉(zhuǎn)儲(chǔ)工具的原因之一�。在此工具幫助下��,攻擊者無(wú)法繼續(xù)藏身于 PLC 中。
可實(shí)際接觸該端口�,或可在供應(yīng)鏈制造過程中裝配 PLC 的攻擊者,就可以使用此技術(shù)讀寫設(shè)備內(nèi)存�����。這樣他們就能操縱 PLC 運(yùn)行�,比如提供虛假讀數(shù)或其他儀表數(shù)據(jù)。
新交付的 PLC 中存在此信任概念就是一大問題�����。
并非此特殊訪問功能本身讓用戶可讀寫閃存���。閃存讀寫的實(shí)現(xiàn)是一系列功能巧妙組合的結(jié)果���,運(yùn)用這些功能可使用戶能夠在設(shè)備上執(zhí)行自己的代碼。而一旦能夠執(zhí)行自己的代碼���,也就能完全控制此 PLC 了����。
支持西門子安全
研究人員稱���,選擇研究西門子的 PLC 是因?yàn)槲鏖T子是市場(chǎng)領(lǐng)導(dǎo)者����,也因?yàn)楣妼?duì) PLC 操作系統(tǒng)知之甚少���。
盡管現(xiàn)在很多嵌入式系統(tǒng)仍然安全防護(hù)不周�,但相比其他供應(yīng)商�,西門子在安全方面做了更多工作。
老實(shí)說(shuō)�����,西門子的 PLC 可算行業(yè)頂尖了�����。他們一直在增加研究人員必須繞過的各種功能和安全特性���。西門子做了很多工作以保持在嵌入式安全領(lǐng)域的領(lǐng)先位置����。
即便如此���,研究人員堅(jiān)稱�����,還需做更多工作以保護(hù)工廠運(yùn)營(yíng)商的 PLC 不受攻擊者或供應(yīng)鏈腐敗的破壞���。如果有類似西門子 PLC 中的那種特殊功能�����,供應(yīng)商應(yīng)通告其客戶���。客戶理應(yīng)知曉此信息���,這樣他們才能在風(fēng)險(xiǎn)評(píng)估中將之納入考慮����。
波鴻魯爾大學(xué)團(tuán)隊(duì)的研究工作是一系列 PLC 研究項(xiàng)目中最新的一個(gè)����。今年夏天,發(fā)現(xiàn)使用同一固件的現(xiàn)代 S7 系列 PLC 共享同一公共加密密鑰后�,另一組安全研究人員建立了一個(gè)虛假工程工作站���,可欺騙并篡改西門子 S7 PLC 操作。
