PLC漏洞在OT网络内部实现深度横向移动

工控安全 1年前 (2023) admin
274 0 0
PLC漏洞在OT网络内部实现深度横向移动


迄今为止,以入侵OT网络为目标的威胁组织一直致力于打破网络隔离,以达到现场控制器,如可编程逻辑控制器(PLC) ,并改变运行在它们上面的程序。然而,研究人员警告说,这些控制器本身存在缺陷,并且可以通过点到点和其他不可路由的连接,向其他低级设备进行深度横向移动。


为了举例说明这种情况并强调风险,安全公司Forescout的研究人员利用他们在施耐德Modicon PLC中发现的两个漏洞:CVE-2022-45788和CVE-2022-45789,深入到可移动桥梁的模拟OT架构中,并绕过所有安全机制造成物理损坏。


▍使用旁路和远程代码执行 


Forescout发现的两个漏洞影响了Modicon Unity系列的PLC,这些PLC使用施耐德统一消息应用服务(UMAS)协议的EcoStruxure Control Expert和EcoStruxure Process Expert控制系统进行管理。这包括以下 PLC:


▷M340 (BMXP34*)

▷M580 (BMEP*, BMEH*)

▷M580 Safety (BMEP58*S, BMEH58*S)

▷ MC80 (BMKC80)

▷Momentum Unity M1E (171CBU*)

▷Quantum Unity (140CPU65*)

▷Premium Unity (TSXP57*)


其中一个漏洞编号为CVE-2022-45789,CVSS 级别被评为8.1。该漏洞允许攻击者劫持已经经过身份验证的 Modbus 会话并在控制器上执行未经授权的 Modbus 功能。Modbus 是一种数据通信协议,最初由 Modicon 在 1970 年代后期开发,现在是工业设备事实上的通信标准。UMAS是基于Modbus的专有变体。


问题出在UMAS EnhancedCyberReserve机制中,这是Modicon试图在PLC和编程它的工程客户端之间实现UMAS身份验证的尝试。最初,UMAS协议没有任何身份验证或加密,从而被发现了许多漏洞,因此后来在几次迭代中添加了Enhanced Cyber Reserve机制。然而,Forescout的研究人员发现,目前的Enhanced Cyber Reserve机制也不是完全安全的。    


“在调查UMAS协议后续修补的Enhanced Cyber Reserve机制时,我们观察到它仍然从根本上被破坏,”研究人员说。“首先,随机数由PLC作为全局变量维护,与特定客户端或预订ID没有任何明确的联系。此外,这些随机数仅在会话结束或收到显式UMAS随机交换请求时续订。”


第二个漏洞编号为 CVE-2022-45788,该漏洞允许攻击者在 PLC 上远程执行代码,CVSS 级别被评为 7.5。此漏洞很有趣,因为它涉及使用未记录的 Modbus UMAS 命令(服务代码0x50),该命令非常强大,允许直接操作内存,几乎没有痕迹。


Forescout研究人员说,“应该注意的是,虽然施耐德电气将CVE-2022-45788描述为与下载恶意工程文件有关,但此漏洞实际上在完全不同的(未记录的)功能集上运行,该功能允许修改内部PLC存储器,而不影响PLC运行状态或需要工程下载。” 由于大多数PLC攻击针对在PLC上运行的程序代码,然后通过连接到PLC的阀门、电机、执行器、泵等影响物理过程,因此,该攻击方式十分特殊。


一般情况下,修改代码或将新逻辑上传到 PLC 可能会触发安全机制,或者可能需要重新启动 PLC 或在其上运行的逻辑。而利用此漏洞,攻击者可以创建虚拟内存页,然后使用允许它们直接操作的专有命令集填充它们——如读取、写入、复制、调整大小等。在内部存储器块上,这本质上类似于在操作系统中实时修补正在运行的进程。


▍远程访问 PLC 绕过传统的 OT 安全控制


传统的OT环境分为多个功能层级,包括直接影响物理过程的设备,例如阀门,执行器和传感器(L0);控制它们的 PLC(L1);以及从 PLC 监控和获取数据的系统,也称为 SCADA 系统(L2)。此时,我们通常会遇到第一个安全边界,企业在那里放置一些访问控制设备。


L3包含操作管理软件,例如日志记录服务器、数据库、应用程序服务器和工程工作站 (EWS),而L4包含具有企业资源规划 (ERP) 和财务系统的组织的 IT 网络。在L3和L4之间,有额外的安全控制措施将 IT 与 OT 网段分开。


按照此网络拓扑图,攻击者要么必须首先闯入IT段,设法跳到OT内部的L3,感染工程工作站,然后使用其连接到达PLC或劫持SCADA系统并通过其人机(HMI)界面实现更改。当企业需要实施远程管理时,通常会使得这条攻击路径更为容易被实现。


工业网络安全公司Otorio的研究人员最近显示了另一种网络拓扑图,在这种网络拓扑图中远程遥控的PLC通过无线或蜂窝物联网网关连接到组织的控制中心,从而将SCADA系统和PLC直接连接到互联网。由于无线或蜂窝物联网网关可能存在可远程利用的漏洞,使得攻击者甚至可能不需要层层渗透。


Forescout研究人员使用Shodan搜索引擎,发现超过1000个Modicon Unity PLC暴露在互联网上,其中法国、西班牙、意大利和美国的数量最多。


研究人员说:“在Shodan上快速搜索受影响的模型显示,从机场、采矿、太阳能和水力发电到化学制造的所有领域都存在暴露的Modicon PLC。尤其是所谓的成套机组(PU),它们是为特定目的(HVAC,化学注入,水处理,燃气轮机)而构建的整个子系统,制造商将其出售给运营商,并直接接入资产所有者的控制系统。这些 PU 可以控制 PLC 和驱动子系统工作的各种其他组件,但它们通常作为黑匣子运行,由系统提供商进行远程管理,资产所有者对它们几乎没有控制权,通常仅限于读取输出数据或发出一组有限的命令。


因此,攻击者可以通过多种方式访问PLC,要么使用从企业IT到OT的长路径,要么使用远程访问网关和资产所有者有意放入的协议等短路径。


 ▍深度横向运动


也就是说,许多L0-L2架构都由制造商支持,其中PLC、SIS和PU以及无线工业网关、WAN无线电调制解调器都通过串行或点对点以太网连接进行链接。这些设备越来越复杂,支持许多协议和类型的连接。这些直接连接在设计上缺乏安全性,并且由于它们不可路由,因此在进行威胁建模时,制造商或资产所有者都不会考虑它们。


根据Forescout研究人员的说法,在许多情况下,PLC不仅仅是一个现场控制器,它是一种外围设备,攻击者可以通过利用这些不可路由的链接来访问其他 L1 设备。他们称之为深层横向运动。


研究人员仿真了一种OT架构,用于模拟现实世界部署的可移动桥梁系统场景。桥梁系统作为由第三方管理的成套设备交付,而桥梁管理机构通过SCADA进行监控。


桥梁系统中有一个目标PLC(Object PLC)公开了有限的功能,如启动桥梁关闭或打开序列和一些变量,但没有提供对桥梁系统的精细控制。它确实通过现场总线与电机和其他元件通信,并具有指向安全系统(Safety PLC)的点对点以太网链路。安全系统仅公开几个状态值,但随后具有与之链接的安全旁路机制。PLC 还连接到现场总线耦合器,该耦合器充当多个网桥之间的中央网关,但耦合器不允许将消息直接发送到 PLC。


研究人员解释说: “从SCADA系统进入的攻击者,如果希望执行上述攻击场景之一,必须首先通过耦合器(一种电—光—电转换器件,将一路信号分成多路)。在那之后,他们将需要能够在桥对象 PLC 上获得 RCE(远程命令/代码执行漏洞),为此,将部署一个认证旁路。对目标 PLC 进行 RCE 后,可以进入现场总线链路对现场设备进行详细的操作。他们还可以通过以太网模块获得 RCE,然后跨越背板来处理安全系统,从而跨越到 SIS 的点对点链接。”

PLC漏洞在OT网络内部实现深度横向移动


首先,研究人员使用以往研究中发现的缓冲区溢出漏洞,获得了中央耦合器(Wago 750系列)的远程代码执行权限。然后,他们将耦合器的Modbus处理程序挂上作为代理,使他们能够将UMAS与M340 PLC(即目标PLC)进行通信以及嗅探流量。


这使他们能够利用 CVE-2022-45789 漏洞,并欺骗与 M340 PLC 进行过身份验证的会话。接下来,他们利用了 CVE-2022-45788 漏洞,绕过 PLC 程序对普通操作员执行操作的限制,并进入封装单元的内部。


通过这种级别的访问,研究人员可以开始与CANopen桥接系统现场总线进行交互,该总线将PLC连接到电机和编码器等桥接系统。但是仍然有安全PLC可以防止任何破坏性行为,所以下一个目标是跳进安全PLC里。


在他们的示例中,安全PLC使用带有以太网模块的 GuardLogix PLC,该模块具有到M340目标PLC的点对点链路。在这种情况下,他们在IP选项 TCP/IP 堆栈(CVE-2019-12256)中使用了一个预身份验证堆栈缓冲区溢出漏洞。通过将代码执行到以太网控制器中,他们可以通过设备驱动程序API开始与GuardLogix PLC CPU通信。


攻击者现在利用他们对最初暴露有限功能的PLC的访问权限,通过不可路由的链接深入网络内部,并获得直接影响安全PLC和桥梁组件的能力。


▍降低横向移动风险


为了减轻深度横向运动的一些风险,研究人员提出了以下建议:


▷禁用设备上未使用的服务。例如,如果 PLC 上不需要以太网 UMAS,请禁用它。


▷使用 DPI 防火墙和基于 IP 的访问控制列表来限制工程工作站和 PLC 之间的敏感流。如果只需要协议子集,请使用 DPI 进一步限制这一点。


▷通过 OT-DPI 防火墙和/或一致性检查网关(包括点对点链路)实施网络分段。


▷根据风险是否合理,某些跨高度敏感网段的点对点链路可能需要使用专用的嵌入式 DPI 防火墙,此外可能需要考虑使用带外收集数据的内联分路器。


文章来源:

https://www.csoonline.com/article/3687991/plc-vulnerabilities-can-enable-deep-lateral-movement-inside-ot-networks.html



PLC漏洞在OT网络内部实现深度横向移动

公司简介

 Company Profile 


       浙江国利网安科技有限公司坚守“让控制更安全,让用户更放心”的使命,凭借30年的工控技术积累和12年的工控安全研究,已形成了“工控安全试验场”“工控安全盾”等独具特色与优势的攻防核心技术、安全产品与服务体系,以及完整的行业解决方案,在水务水利、石油炼化、油气管网、城市燃气、电力能源、轨道交通、智能制造等行业拥有众多客户,致力于成为世界一流的关键基础设施安全整体解决方案提供商。


PLC漏洞在OT网络内部实现深度横向移动


原文始发于微信公众号(国利网安):PLC漏洞在OT网络内部实现深度横向移动

版权声明:admin 发表于 2023年3月23日 上午11:28。
转载请注明:PLC漏洞在OT网络内部实现深度横向移动 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...