美国某电力系统因防火墙漏洞被攻击致运行中断
作者: 日期:2019年09月12日 阅:7,683

今年早些时候,黑客利用受害者组织所使用的防火墙中的已知漏洞针对美国电力公用事业发起了拒绝服务 (DoS) 攻击。

国家能源技术实验室去年春天发布的一份季度报告显示,一起网络事件导致美国西部一家未具名的公用事业公司 “电力系统运行中断”。据悉,这起事件发生在今年 3 月 5 日,对加利福尼亚州、犹他州以及怀俄明州造成了影响,但并没有造成电力供应的任何中断。

为能源和环境专业人士提供新闻资讯的 E&E News 当时了解到,这次中断涉及利用已知漏洞的 DoS 攻击,但没有提供任何其他详细信息。

近日,北美电力可靠性公司 (NERC)(一个非营利性国际监管机构,承担美国电力保障,使命是确保有效和高效地降低电网可靠性和安全性的风险)在电网监管机构网站上发布的《经验教训 (Lesson Learned) 》文件中指出,该事件涉及受影响组织所使用的防火墙的 Web 界面中的漏洞。

根据 NERC 文档显示,未经身份验证的攻击者利用防火墙中的已知漏洞触发了导致设备不断重启的 DoS 条件。目前尚不清楚是哪家供应商提供了这款防火墙,但它们显然是面向互联网的外围设备,“充当外层安全防护作用”。

目前,受影响的公用事业公司名称也尚未对外公布,但 NERC 表示,DoS 攻击袭击了一个影响较小的控制中心和多个远程低影响发电站点,导致控制中心与站点以及站点的现场设备之间的短暂通信中断。

据悉,此次信号中断都没有持续超过五分钟,而防火墙不断重启的情况却超过了 10 小时。该事件虽然影响有限,但是足以唤起各方的关注。该案例清楚地表明了美国电力公司面临的风险,因为他们的关键控制网络变得更加数字化和互联,并且更容易受到黑客的攻击。NERC 在报告中警告称,应该尽可能减少面向互联网的设备。

在进行了初步的内部调查之后,受影响的公用事业公司决定要求其防火墙制造商审查日志,以确定防火墙不断重启的性质和潜在原因。而随后的分析结果显示,不断重启的行为是由利用了已知防火墙漏洞的外部实体发起的。在收到此通知后,该公用事业公司根据其网络安全事件响应计划启动了他们的事件报告程序。

该受影响的公用事业公司据说已经在事件发生后对其部署固件更新的流程进行了审查,NERC 希望其他能源公司也能从此次事件中学习经验教训,并采取措施来防止此类事件的再次发生。

众所周知,该非营利组织 NERC 近期已经因为网络安全问题向能源公司征收了上千万美元的罚款。2019 年 2 月,杜克能源公司 (Duke Energy Corp.) 因违反旨在保护国家电力系统免受物理和网络攻击的规则而面临联邦监管机构 1000 万美元的罚款。

Duke Energy 总部位于北卡罗来纳州夏洛特,是一家超大型公用事业公司,在七个州经营天然气和电力设施,拥有核电站和天然气输送管线。调查人员表示,该公司违反了 127 项安全规则,对东部互联系统 “安全性和可靠性造成了严重威胁”。

文件称,在 NERC 发现的违法行为中,杜克能源未能保护其最关键的网络资产和敏感信息,并且允许没有适当授权的员工访问某些计算机超过四年;杜克能源还允许承包商、员工和前雇员在没有适当授权的情况下,进入变电站和计算机服务器室这样的敏感地点,有时长达数月;此外,在一个被披露案例中,技术人员与另外两个人分享了他的用户名和密码,因此,他们可以访问公司的一些电子系统长达三年之久,只是在技术人员更改密码时才会失去访问权限;该公用事业公司为其部分网络不正确地配置了防火墙,“有并且至少有” 一个例子中未能 “监控恶意通信”;该公司允许远程计算机访问其某些敏感系统,而无需所谓的多步验证。多步方法需要用户跳过一系列动态验证方法,证明访问的人是否具有适当的权限;同时还发现系统的某些信息未能够正确地加密。

但是,目前尚不清楚此次受到DoS攻击影响的组织是否会面临同样的惩罚。

相关阅读

 

美国电力设施被DoS攻击的思考

报告:美国电网故障归咎于DoS攻击

 

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章