本特利3500在线监测与保护系统。监测与保护系统大型机组设备提供连续的在线状态监测与保护,在检测和防止旋转机械的误跳闸和误跳闸方面处于世界领先地位。全球安装超过80000台,通过跳闸监控机器提供自动保护值,在需要时防止昂贵的损坏。3500系统还可以保护您的机器和流程,防止错误的跳闸,这些错误跳闸可能会毫无理由地导致您的操作停机,从而导致昂贵的停机或生产损失。例如:汽轮机、水轮机、风机、压缩机、涡轮膨胀机 、电动机和发电机、励磁机、齿轮箱、水泵等。
2023年有网络安全人员发现本特利3500的严重漏洞,本文中,介绍在本特利3500 上如何针对CVE-2023-34437漏洞的防护。需要强调的是,漏洞允许攻击者绕过身份验证过程,并通过简单地制作和发送恶意请求来获得对设备的完全访问权限。由于遗留限制,厂商还未开发补丁,因此本文不能透露技术细节。通过提高对这些漏洞的认识,目标是使工业组织能够主动采取措施,强化其关键基础设施,抵御潜在威胁。
本特利3500由一个支持安装多个扩展模块的机箱组成,基于以太网的通信通过数据接口(TDI /22)进行处理。信息通过设备和 3500 系统配置实用程序使用的明文专有协议进行交换。
本特利内华达 3500 系统配置实用程序。
该机架配置为在访问级别(“连接密码”)和配置级别(“配置密码”)启用密码保护,以模拟启用两种保护的真实场景。然后对专有协议进行分析和逆向工程,以识别设计级别和实现级别可能存在的弱点。根据分析结果,安全团队发现了漏洞。
本特利内华达3500漏洞:
CVE-2023-34437:向未经授权的参与者泄露敏感信息 (CWE-200),CVSS v3.1 基本分数 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S: U/C:H/I:N/A:N) 高风险
要成功利用 CVE-2023-34437(向未经授权的参与者公开敏感信息),攻击者只需通过网络访问即可到达存在此漏洞的目标设备版本,从而能够窃取“连接”和“配置”通过发送恶意请求获取密码。如果设备没有采取额外的强化措施,则可以访问和滥用此信息以完全危害机器。这可能会影响流程和操作的机密性、完整性和可用性,因为可以利用提取的信息来制作针对目标的经过身份验证的请求。
所有这些漏洞均已确认影响TDI/22 模块(USB 和串行版本) 5.05 及更高版本的固件版本。
IRTeam建议防护措施:
1.运行模式与配置模式:PLC 和控制系统通常采用物理按键将设备置于运行模式或配置模式。后者通常由技术人员在维护活动期间使用,以启用设备上新配置的写入权限。可能发生的一种常见错误配置是在维护活动后忘记将设备恢复到运行模式,或者选择默认的始终开启配置模式以方便远程更改。最佳实践是尽可能确保设备始终保持在运行模式。
2.网络分段和隔离:设计并实施适当的网络分段策略,以防止未经授权的各方与关键资产进行交互。对于供应商不再积极支持的遗留解决方案,特别建议这样做。
3.强大且唯一的密码:在选择凭据时,请确保保证唯一性和稳健性。前一个属性经常被低估,但可以在从易受攻击的计算机或组件提取的凭据可以在共享相同凭据的完全修补的系统上轻松重用的情况下提供防御。
4.启用非默认增强安全功能:检查您的设备手册以了解默认情况下未启用的安全功能。通常,这些附加功能可以大大降低特定漏洞的可能性或影响,并缓解“难以修补”的情况。对于本特利内华达设备,客户查看通过配置实用程序提供的各种安全级别,并选择符合特定需求和安全策略的级别。
原文始发于微信公众号(IRTeam工业安全):如何保护本特利3500监测与保护系统
