您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
CVSS v3.X為10的工業(yè)互聯(lián)網(wǎng)漏洞之安全防護(hù)初探
CVSS(Common Vulerability Scoring System), 通用漏洞評(píng)估方法提供了一種捕獲漏洞主要特征并生成反映其嚴(yán)重性的數(shù)字評(píng)分的方法。數(shù)字評(píng)分以文本形式來表示,通常將數(shù)字分?jǐn)?shù)轉(zhuǎn)換為定性表示形式(例如低,中,高),以幫助組織正確評(píng)估漏洞管理流程并確定漏洞修復(fù)優(yōu)先級(jí)[1]。
工業(yè)互聯(lián)網(wǎng)安全高危漏洞分析
漏洞庫(kù)平臺(tái)根據(jù)CVSS分級(jí)標(biāo)準(zhǔn)對(duì)漏洞進(jìn)行0至10之間的數(shù)字評(píng)分,10分為最高分,表示該漏洞的嚴(yán)重程度最高,一旦被攻擊者利用,造成的損失也較大。本文分析2020年1月至6月CVSS v3.X(CVSS v3.0或CVSS v3.1)為10的工業(yè)互聯(lián)網(wǎng)安全高危漏洞,如表1所示,并對(duì)AutomationDirect、Moxa、Emerson、Schneider Electric不同供應(yīng)商的高危漏洞進(jìn)行詳細(xì)分析,并參考美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的建議給出漏洞的緩解措施。
表1:CVSS v3.X為10的工業(yè)互聯(lián)網(wǎng)安全高危漏洞
一 AutomationDirect C-More Touch Panels EA9 Series 憑證管理漏洞(CVE-2020-6969)[3]
漏洞描述:AutomationDirect C-More Touch Panels EA9 是美國(guó)AutomationDirect公司的一款軟件管理平臺(tái)。
威脅預(yù)警:CVSS v3 10
風(fēng)險(xiǎn)評(píng)估:攻擊者成功利用該漏洞,能夠獲取帳戶信息(例如用戶名和密碼),進(jìn)而訪問系統(tǒng)并修改系統(tǒng)配置。
受影響的產(chǎn)品:AutomationDirect C-More Touch Panels EA9 6.53之前的版本
CISA漏洞緩解措施:
●廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞:
https://support.automationdirect.com/products/cmore.html
● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面
● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備,并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離
● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪問
二 Moxa PT-7528和PT-7828 緩沖區(qū)溢出漏洞(CVE-2020-6989)[4]
漏洞描述:Moxa PT-7528和Moxa PT-7828都是中國(guó)臺(tái)灣摩莎(Moxa)公司的一款管理型機(jī)架式以太網(wǎng)交換機(jī)。
威脅預(yù)警:CVSS v3 10
風(fēng)險(xiǎn)評(píng)估:攻擊者成功利用該漏洞可執(zhí)行任意代碼或造成拒絕服務(wù)。
受影響的產(chǎn)品:
Moxa PT-7528 series firmware 4.0 之前的版本
Moxa PT-7828 series firmware 3.9 之前的版本
CISA漏洞緩解措施:
● 廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞:
https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities
● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面
● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備,并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離
● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪問
三 多款Emerson Electric產(chǎn)品訪問控制漏洞(CVE-2020-12030)[5]
漏洞描述:Emerson Electric Wireless 1410 Gateway等都是美國(guó)艾默生電氣(Emerson Electric)公司的一款智能無(wú)線網(wǎng)關(guān)產(chǎn)品。
威脅預(yù)警:CVSS v3 10
風(fēng)險(xiǎn)評(píng)估:攻擊者成功利用該漏洞可能會(huì)禁用內(nèi)部網(wǎng)關(guān)防火墻,一旦禁用了網(wǎng)關(guān)的防火墻,攻擊者便可以向網(wǎng)關(guān)發(fā)出特定命令,然后將這些命令轉(zhuǎn)發(fā)到最終用戶的無(wú)線設(shè)備上。
受影響的產(chǎn)品:
Emerson Electric Wireless 1410 Gateway 4.6.43版本至4.7.84版本
Wireless 1420 Gateway 4.6.43版本至4.7.84版本
Wireless 1552WU Gateway 4.6.43版本至4.7.84版本
CISA漏洞緩解措施:
● 廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞:
https://www.emerson.com/en-br/catalog/emerson-sku-1410-wireless-gateway
● 禁用所有未使用的功能
● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面,并確保不能從互聯(lián)網(wǎng)上訪問到設(shè)備。
● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備,并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離
● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪問
四 Schneider Electric Unity Loader和OS Loader Software 使用硬編碼憑證漏洞(CVE-2020-7498)[6]
漏洞描述:Schneider Electric Unity Loader和OS Loader Software都是法國(guó)施耐德電氣(Schneider Electric)公司的產(chǎn)品。Unity Loader是一款數(shù)據(jù)交換實(shí)用程序。OS Loader Software是一款系統(tǒng)加載實(shí)用程序。
威脅預(yù)警:CVSS v3 10
風(fēng)險(xiǎn)評(píng)估:攻擊者成功利用該漏洞可訪問文件傳輸服務(wù)。
受影響的產(chǎn)品:
Schneider Electric Unity Loader和OS Loader Software(全部版本)
施耐德漏洞緩解措施:
● 廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-02_Unity_Loader_and_OS_Loader_Software_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-02
● 設(shè)置網(wǎng)絡(luò)分段并實(shí)施防火墻以阻止所有對(duì)端口TCP/21的未經(jīng)授權(quán)的訪問
● 安裝物理控件,以防止未經(jīng)授權(quán)的人員訪問工業(yè)控制系統(tǒng)、組件、設(shè)備和網(wǎng)絡(luò)
● 將所有控制器放置在上鎖的機(jī)柜中,切勿使其處于“程序”模式
● 切勿將編程軟件連接到用于設(shè)備網(wǎng)絡(luò)以外的任何網(wǎng)絡(luò)上
● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面,并確保不能從互聯(lián)網(wǎng)上訪問到設(shè)備
● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪問
針對(duì)以上漏洞進(jìn)行分析發(fā)現(xiàn),不管是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)還是漏洞涉及到的廠商給出的緩解措施中,除了更新漏洞補(bǔ)丁外,設(shè)置網(wǎng)絡(luò)分段(網(wǎng)絡(luò)區(qū)域),與業(yè)務(wù)系統(tǒng)隔離;縮小網(wǎng)絡(luò)攻擊面(減少暴露面、不將軟件連接到用于設(shè)備網(wǎng)絡(luò)以外的任何網(wǎng)絡(luò)上);采用VPN的方式進(jìn)行遠(yuǎn)程訪問是最常用的緩解措施。具體防護(hù)措施在下文中詳細(xì)展開。
安全防護(hù)一:設(shè)置網(wǎng)絡(luò)分段(網(wǎng)絡(luò)區(qū)域),做好安全隔離
如何實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域之間的隔離呢?《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全通信網(wǎng)絡(luò)中網(wǎng)絡(luò)架構(gòu)對(duì)網(wǎng)絡(luò)區(qū)域劃分進(jìn)行了明確的要求。以等保三級(jí)為例,網(wǎng)絡(luò)架構(gòu)要求如下:
a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段;
b)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域,安全域之間應(yīng)采用技術(shù)隔離手段;
c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng),應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。
工業(yè)互聯(lián)網(wǎng)企業(yè)在進(jìn)行安全建設(shè)時(shí),應(yīng)優(yōu)化網(wǎng)絡(luò)架構(gòu)恰當(dāng)分區(qū)分域,基于工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)并參考等保2.0中功能層次模型將安全域劃分為三部分,L0現(xiàn)場(chǎng)設(shè)備層、L1現(xiàn)場(chǎng)控制層、L2過程監(jiān)控層劃分為一個(gè)安全域,L3生產(chǎn)管理層劃分為一個(gè)安全域,L4企業(yè)資源層劃分為一個(gè)安全域,在辦公網(wǎng)與互聯(lián)網(wǎng)之間部署智慧防火墻(IT防火墻),在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署工業(yè)網(wǎng)閘或工業(yè)防火墻,在生產(chǎn)網(wǎng)各安全域邊界部署工業(yè)防火墻。具體的網(wǎng)絡(luò)拓?fù)鋵?shí)施架構(gòu)圖如下:
圖1:網(wǎng)絡(luò)拓?fù)鋵?shí)施架構(gòu)圖
工業(yè)網(wǎng)閘采用工業(yè)應(yīng)用協(xié)議隔離技術(shù)實(shí)現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)安全域之間訪問控制、協(xié)議轉(zhuǎn)換、內(nèi)容過濾和信息交換,阻止來自辦公網(wǎng)的病毒、木馬、網(wǎng)絡(luò)入侵等安全威脅。工業(yè)防火墻采用四重白名單的深度防御和一體化引擎機(jī)制實(shí)現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)、生產(chǎn)網(wǎng)之間的網(wǎng)絡(luò)安全防護(hù)。
安全防護(hù)二:縮小網(wǎng)絡(luò)攻擊面
如何縮小網(wǎng)絡(luò)攻擊面呢?一方面關(guān)閉工業(yè)控制設(shè)備不常用的端口,可以減少工業(yè)控制系統(tǒng)/設(shè)備在網(wǎng)上的暴露面。另一方面通過網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制時(shí)關(guān)閉不必要的端口。第三,工業(yè)軟件不要跨網(wǎng)段訪問,同時(shí)在終端做好工業(yè)主機(jī)安全防護(hù)。
工業(yè)主機(jī)是信息世界通往物理世界的“大門”,且工業(yè)主機(jī)的生命周期往往比較長(zhǎng),操作系統(tǒng)老舊,存在大量漏洞,并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn),工業(yè)主機(jī)很難定期升級(jí)補(bǔ)丁,因此工業(yè)主機(jī)已成為各類網(wǎng)絡(luò)攻擊和安全事件的首要攻擊目標(biāo)。根據(jù)奇安信在汽車、鋼鐵、制造等行業(yè)處理過的上百起工業(yè)安全事件來看,很多病毒、木馬的入侵最終都是落腳在了工業(yè)主機(jī)上,那么在投入有限的條件下,做好工業(yè)主機(jī)的安全防護(hù)性價(jià)比相對(duì)較高。
工業(yè)主機(jī)安全防護(hù)系統(tǒng)基于智能匹配的白名單管控技術(shù)、基于ID的USB移動(dòng)存儲(chǔ)外設(shè)管控技術(shù)、入口攔截、運(yùn)行攔截、擴(kuò)散攔截關(guān)卡式病毒攔截技術(shù),防范惡意程序的運(yùn)行、非法外設(shè)接入。工業(yè)主機(jī)安全防護(hù)系統(tǒng)投運(yùn)后,工業(yè)主機(jī)上的軟件不會(huì)隨意升級(jí)或增加新的軟件、插件,可以大大縮小網(wǎng)絡(luò)攻擊面。
安全防護(hù)三:采用VPN的方式進(jìn)行遠(yuǎn)程訪問
隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展,越來越多的工業(yè)企業(yè)內(nèi)的操作人員通過安全遠(yuǎn)程連接的方式控制自動(dòng)化、能源等工業(yè)應(yīng)用。此外,工業(yè)控制系統(tǒng)設(shè)備供應(yīng)商較為廣泛,包括西門子、施耐德、羅克韋爾等,供應(yīng)商傾向于通過遠(yuǎn)程運(yùn)維的方式維護(hù)設(shè)備。當(dāng)遠(yuǎn)程訪問或遠(yuǎn)程運(yùn)維時(shí)如果沒有部署安全防護(hù)措施是極易被攻擊者利用的。
VPN通常部署在辦公網(wǎng)和生產(chǎn)網(wǎng)安全區(qū)域邊界處,如上圖1所示。通過VPN的方式進(jìn)行遠(yuǎn)程運(yùn)維,在滿足遠(yuǎn)程運(yùn)維人員身份認(rèn)證、傳輸加密、訪問授權(quán)等多種安全需求基礎(chǔ)上,可以提供統(tǒng)一的安全接入入口,滿足工業(yè)行業(yè)需要。
針對(duì)通過工業(yè)應(yīng)用APP來進(jìn)行遠(yuǎn)程訪問的情況,可以采用應(yīng)用APP與VPN進(jìn)行封裝的方式來落實(shí)安全防護(hù),在不改變操作人員使用習(xí)慣的前提下,既能提高操作人員的工作效率,又能解決APP數(shù)據(jù)加密傳輸及身份認(rèn)證的問題。
安全防護(hù)四:對(duì)工業(yè)互聯(lián)網(wǎng)資產(chǎn)及漏洞進(jìn)行安全監(jiān)測(cè)
除了以上CISA 推薦的3種安全防護(hù)措施外,看清、看透、看全工業(yè)互聯(lián)網(wǎng)生產(chǎn)中的風(fēng)險(xiǎn),是保障工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)和前提,因此,做好對(duì)工業(yè)互聯(lián)網(wǎng)的安全監(jiān)測(cè)也是至關(guān)重要的一步。
恐懼源于未知,看見才能安全,通過工業(yè)安全監(jiān)測(cè)能夠及時(shí)發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)中的安全漏洞,為工業(yè)互聯(lián)網(wǎng)安全管理提供抓手。工業(yè)安全監(jiān)測(cè)主要以工業(yè)資產(chǎn)為中心,安全檢測(cè)與審計(jì)為主線,具有資產(chǎn)自動(dòng)發(fā)現(xiàn)、漏洞無(wú)損識(shí)別、威脅實(shí)時(shí)檢測(cè)、行為異常分析、工業(yè)協(xié)議審計(jì)等核心功能,幫助工業(yè)企業(yè)自動(dòng)匹配資產(chǎn)漏洞,發(fā)現(xiàn)潛在的安全隱患,及時(shí)處置,保障生產(chǎn)連續(xù)性。
總結(jié)
工業(yè)互聯(lián)網(wǎng)企業(yè)在進(jìn)行安全防護(hù)且安全預(yù)算有限的情況下,可優(yōu)先做好以上4種防護(hù)措施,實(shí)現(xiàn)“投入少、見效大”的效果,后續(xù)再持續(xù)完善工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè),通過產(chǎn)業(yè)協(xié)同機(jī)制來構(gòu)建工業(yè)互聯(lián)網(wǎng)的安全。
參考文獻(xiàn)
[1]https://www.first.org/cvss/v3.1/user-guide
[2]https://nvd.nist.gov/vuln-metrics/cvss#
[3]https://www.us-cert.gov/ics/advisories/icsa-20-035-01
[4]https://www.us-cert.gov/ics/advisories/icsa-20-056-03
[5]https://www.us-cert.gov/ics/advisories/icsa-20-135-02
[6]https://www.se.com/ww/en/download/document/SEVD-2020-161-02/
原文來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 作者:奇安信