以色列两家大型的研究人员证明,恶意黑客不仅能利用伪工程工作站接管西门子可编程逻辑控制器 (PLC),还能让监视该系统的工程师根本发现不了。
西门子 SIMATIC S7 PLC 与作为工程工作站和人机接口 (HMI) 的 TIA Portal (WinCC) 软件间采用 S7 网络协议通信。以色列理工大学和特拉维夫大学的研究人员日前便逆向工程了该 S7 网络协议。
最近几年,西门子全球 PLC 市场份额超 30%,已是市场最大供应商。所以,这些控制器很有可能被试图破坏工业环境的恶意黑客盯上,正如 2010 年伊朗核设施遭遇的震网攻击所演示的那样。
西门子 PLC 近些年来屡曝严重漏洞,研究人员已经演示过其中一些具破坏性的攻击。
西门子控制器所用最新版 S7 协议确实采用了某些防御机制,包括加密消息完整性检查之类应保护通信不受恶意篡改的机制。
然而,逆向工程了该协议之后,以色列研究人员成功开发出模仿 TIA Portal 的伪工程工作站,可与西门子 PLC 交互。只要能访问目标公司的网络和 PLC,攻击者便可以设置这样一个伪工作站。
专家已证明,此类伪工程工作站可以向 S7-1500 PLC 发送指令,指示其启动或关闭。取决于控制器的用途,伪工程工作站可能造成很严重的危害。
不仅如此,伪系统还可用于远程下载恶意控制逻辑程序到控制器上。
在被描述为隐藏程序注入的攻击中,专家成功了下载了一段恶意程序到 PLC 上,同时躲过了工程师的视线。之所以能做到这一点,是因为程序下载消息中既包含程序的源代码,也包含将在 PLC 上运行的二进制(已编译)代码。攻击者可以分别修改这两种代码,让未编译代码保持原样——这部分代码将展示给工程师看,而对发送给控制器的已编译代码进行恶意修改。
必须指出,我们的发现本身不是可以快速修复的‘漏洞’:该协议的面纱一经揭开,我们发现,此类攻击其实是协议所用加密设计选择的结果。
研究人员将该攻击方法命名为 “Rogue7”,已于 8 月 8 日在拉斯维加斯黑帽安全大会上披露。包含技术信息的相关研究论文也已发布。
收到媒体《SecurityWeek》的评论请求后,西门子称,公司已知悉该研究,计划发布产品更新以解决专家发现的某些问题。不过,该公司也表示,其产品已经包含了安全功能,比如 Access Protection(访问保护),应该可以缓解此类攻击。
该公司在电子邮件声明中称:西门子公司建议用户激活这些保护功能,并应按照发布在西门子工业安全网站上的操作指南来安装产品。
韩国研究人员也发出了新西门子PLC漏洞警告
上个月,韩国 NSHC 的研究人员报告称,在西门子 S7 PLC 中发现可用于重放攻击的一个“零日漏洞”。
该公司向媒体透露称,已进入目标公司网络且可发起中间人攻击 (MitM)的攻击者,能够利用该技术实施拒绝服务攻击 (DoS),甚至可以执行任意指令。
NSHC 发布了一段视频,清晰演示如何利用该漏洞造成严重的破坏。
但是,西门子向媒体表示,已对此进行了内部调查,并确定 NSHC 所发现的并非切实的漏洞。
研究人员似乎通过逆向工程收集的信息,开发了兼容 S7 通信协议的客户端,只有有限的功能。
西门子公司建议 Simatic S7-1200/S7-1500/Software Controller 用户启用‘Access Protection’功能,防止设备未授权修改。
Rogue 7 研究论文:
西门子 S7 PLC 漏洞:
S7 PLC 漏洞利用视频:
https://www.youtube.com/watch?v=CyIAtKH5CA0
