您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
CVSS v3.X為10的工業(yè)互聯(lián)網漏洞之安全防護初探
CVSS(Common Vulerability Scoring System), 通用漏洞評估方法提供了一種捕獲漏洞主要特征并生成反映其嚴重性的數(shù)字評分的方法。數(shù)字評分以文本形式來表示,通常將數(shù)字分數(shù)轉換為定性表示形式(例如低,中,高),以幫助組織正確評估漏洞管理流程并確定漏洞修復優(yōu)先級[1]。
工業(yè)互聯(lián)網安全高危漏洞分析
漏洞庫平臺根據CVSS分級標準對漏洞進行0至10之間的數(shù)字評分,10分為最高分,表示該漏洞的嚴重程度最高,一旦被攻擊者利用,造成的損失也較大。本文分析2020年1月至6月CVSS v3.X(CVSS v3.0或CVSS v3.1)為10的工業(yè)互聯(lián)網安全高危漏洞,如表1所示,并對AutomationDirect、Moxa、Emerson、Schneider Electric不同供應商的高危漏洞進行詳細分析,并參考美國網絡安全和基礎設施安全局(CISA)的建議給出漏洞的緩解措施。
表1:CVSS v3.X為10的工業(yè)互聯(lián)網安全高危漏洞
一 AutomationDirect C-More Touch Panels EA9 Series 憑證管理漏洞(CVE-2020-6969)[3]
漏洞描述:AutomationDirect C-More Touch Panels EA9 是美國AutomationDirect公司的一款軟件管理平臺。
威脅預警:CVSS v3 10
風險評估:攻擊者成功利用該漏洞,能夠獲取帳戶信息(例如用戶名和密碼),進而訪問系統(tǒng)并修改系統(tǒng)配置。
受影響的產品:AutomationDirect C-More Touch Panels EA9 6.53之前的版本
CISA漏洞緩解措施:
●廠商已發(fā)布升級補丁以修復漏洞:
https://support.automationdirect.com/products/cmore.html
● 最小化工業(yè)控制系統(tǒng)/設備的網絡暴露面
● 在防火墻后面找到控制系統(tǒng)網絡和遠程設備,并將其與業(yè)務網絡隔離
● 采用VPN的安全方式進行遠程訪問
二 Moxa PT-7528和PT-7828 緩沖區(qū)溢出漏洞(CVE-2020-6989)[4]
漏洞描述:Moxa PT-7528和Moxa PT-7828都是中國臺灣摩莎(Moxa)公司的一款管理型機架式以太網交換機。
威脅預警:CVSS v3 10
風險評估:攻擊者成功利用該漏洞可執(zhí)行任意代碼或造成拒絕服務。
受影響的產品:
Moxa PT-7528 series firmware 4.0 之前的版本
Moxa PT-7828 series firmware 3.9 之前的版本
CISA漏洞緩解措施:
● 廠商已發(fā)布升級補丁以修復漏洞:
https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities
● 最小化工業(yè)控制系統(tǒng)/設備的網絡暴露面
● 在防火墻后面找到控制系統(tǒng)網絡和遠程設備,并將其與業(yè)務網絡隔離
● 采用VPN的安全方式進行遠程訪問
三 多款Emerson Electric產品訪問控制漏洞(CVE-2020-12030)[5]
漏洞描述:Emerson Electric Wireless 1410 Gateway等都是美國艾默生電氣(Emerson Electric)公司的一款智能無線網關產品。
威脅預警:CVSS v3 10
風險評估:攻擊者成功利用該漏洞可能會禁用內部網關防火墻,一旦禁用了網關的防火墻,攻擊者便可以向網關發(fā)出特定命令,然后將這些命令轉發(fā)到最終用戶的無線設備上。
受影響的產品:
Emerson Electric Wireless 1410 Gateway 4.6.43版本至4.7.84版本
Wireless 1420 Gateway 4.6.43版本至4.7.84版本
Wireless 1552WU Gateway 4.6.43版本至4.7.84版本
CISA漏洞緩解措施:
● 廠商已發(fā)布升級補丁以修復漏洞:
https://www.emerson.com/en-br/catalog/emerson-sku-1410-wireless-gateway
● 禁用所有未使用的功能
● 最小化工業(yè)控制系統(tǒng)/設備的網絡暴露面,并確保不能從互聯(lián)網上訪問到設備。
● 在防火墻后面找到控制系統(tǒng)網絡和遠程設備,并將其與業(yè)務網絡隔離
● 采用VPN的安全方式進行遠程訪問
四 Schneider Electric Unity Loader和OS Loader Software 使用硬編碼憑證漏洞(CVE-2020-7498)[6]
漏洞描述:Schneider Electric Unity Loader和OS Loader Software都是法國施耐德電氣(Schneider Electric)公司的產品。Unity Loader是一款數(shù)據交換實用程序。OS Loader Software是一款系統(tǒng)加載實用程序。
威脅預警:CVSS v3 10
風險評估:攻擊者成功利用該漏洞可訪問文件傳輸服務。
受影響的產品:
Schneider Electric Unity Loader和OS Loader Software(全部版本)
施耐德漏洞緩解措施:
● 廠商已發(fā)布升級補丁以修復漏洞:
https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-02_Unity_Loader_and_OS_Loader_Software_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-02
● 設置網絡分段并實施防火墻以阻止所有對端口TCP/21的未經授權的訪問
● 安裝物理控件,以防止未經授權的人員訪問工業(yè)控制系統(tǒng)、組件、設備和網絡
● 將所有控制器放置在上鎖的機柜中,切勿使其處于“程序”模式
● 切勿將編程軟件連接到用于設備網絡以外的任何網絡上
● 最小化工業(yè)控制系統(tǒng)/設備的網絡暴露面,并確保不能從互聯(lián)網上訪問到設備
● 采用VPN的安全方式進行遠程訪問
針對以上漏洞進行分析發(fā)現(xiàn),不管是美國網絡安全和基礎設施安全局(CISA)還是漏洞涉及到的廠商給出的緩解措施中,除了更新漏洞補丁外,設置網絡分段(網絡區(qū)域),與業(yè)務系統(tǒng)隔離;縮小網絡攻擊面(減少暴露面、不將軟件連接到用于設備網絡以外的任何網絡上);采用VPN的方式進行遠程訪問是最常用的緩解措施。具體防護措施在下文中詳細展開。
安全防護一:設置網絡分段(網絡區(qū)域),做好安全隔離
如何實現(xiàn)網絡區(qū)域之間的隔離呢?《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》安全通信網絡中網絡架構對網絡區(qū)域劃分進行了明確的要求。以等保三級為例,網絡架構要求如下:
a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應劃分為兩個區(qū)域,區(qū)域間應采用單向的技術隔離手段;
b)工業(yè)控制系統(tǒng)內部應根據業(yè)務特點劃分為不同的安全域,安全域之間應采用技術隔離手段;
c)涉及實時控制和數(shù)據傳輸?shù)墓I(yè)控制系統(tǒng),應使用獨立的網絡設備組網,在物理層面上實現(xiàn)與其他數(shù)據網及外部公共信息網的安全隔離。
工業(yè)互聯(lián)網企業(yè)在進行安全建設時,應優(yōu)化網絡架構恰當分區(qū)分域,基于工業(yè)控制系統(tǒng)業(yè)務特點并參考等保2.0中功能層次模型將安全域劃分為三部分,L0現(xiàn)場設備層、L1現(xiàn)場控制層、L2過程監(jiān)控層劃分為一個安全域,L3生產管理層劃分為一個安全域,L4企業(yè)資源層劃分為一個安全域,在辦公網與互聯(lián)網之間部署智慧防火墻(IT防火墻),在辦公網和生產網之間部署工業(yè)網閘或工業(yè)防火墻,在生產網各安全域邊界部署工業(yè)防火墻。具體的網絡拓撲實施架構圖如下:
圖1:網絡拓撲實施架構圖
工業(yè)網閘采用工業(yè)應用協(xié)議隔離技術實現(xiàn)辦公網和生產網兩個安全域之間訪問控制、協(xié)議轉換、內容過濾和信息交換,阻止來自辦公網的病毒、木馬、網絡入侵等安全威脅。工業(yè)防火墻采用四重白名單的深度防御和一體化引擎機制實現(xiàn)辦公網和生產網、生產網之間的網絡安全防護。
安全防護二:縮小網絡攻擊面
如何縮小網絡攻擊面呢?一方面關閉工業(yè)控制設備不常用的端口,可以減少工業(yè)控制系統(tǒng)/設備在網上的暴露面。另一方面通過網絡設備進行訪問控制時關閉不必要的端口。第三,工業(yè)軟件不要跨網段訪問,同時在終端做好工業(yè)主機安全防護。
工業(yè)主機是信息世界通往物理世界的“大門”,且工業(yè)主機的生命周期往往比較長,操作系統(tǒng)老舊,存在大量漏洞,并且由于工業(yè)生產連續(xù)性的特點,工業(yè)主機很難定期升級補丁,因此工業(yè)主機已成為各類網絡攻擊和安全事件的首要攻擊目標。根據奇安信在汽車、鋼鐵、制造等行業(yè)處理過的上百起工業(yè)安全事件來看,很多病毒、木馬的入侵最終都是落腳在了工業(yè)主機上,那么在投入有限的條件下,做好工業(yè)主機的安全防護性價比相對較高。
工業(yè)主機安全防護系統(tǒng)基于智能匹配的白名單管控技術、基于ID的USB移動存儲外設管控技術、入口攔截、運行攔截、擴散攔截關卡式病毒攔截技術,防范惡意程序的運行、非法外設接入。工業(yè)主機安全防護系統(tǒng)投運后,工業(yè)主機上的軟件不會隨意升級或增加新的軟件、插件,可以大大縮小網絡攻擊面。
安全防護三:采用VPN的方式進行遠程訪問
隨著工業(yè)互聯(lián)網的不斷發(fā)展,越來越多的工業(yè)企業(yè)內的操作人員通過安全遠程連接的方式控制自動化、能源等工業(yè)應用。此外,工業(yè)控制系統(tǒng)設備供應商較為廣泛,包括西門子、施耐德、羅克韋爾等,供應商傾向于通過遠程運維的方式維護設備。當遠程訪問或遠程運維時如果沒有部署安全防護措施是極易被攻擊者利用的。
VPN通常部署在辦公網和生產網安全區(qū)域邊界處,如上圖1所示。通過VPN的方式進行遠程運維,在滿足遠程運維人員身份認證、傳輸加密、訪問授權等多種安全需求基礎上,可以提供統(tǒng)一的安全接入入口,滿足工業(yè)行業(yè)需要。
針對通過工業(yè)應用APP來進行遠程訪問的情況,可以采用應用APP與VPN進行封裝的方式來落實安全防護,在不改變操作人員使用習慣的前提下,既能提高操作人員的工作效率,又能解決APP數(shù)據加密傳輸及身份認證的問題。
安全防護四:對工業(yè)互聯(lián)網資產及漏洞進行安全監(jiān)測
除了以上CISA 推薦的3種安全防護措施外,看清、看透、看全工業(yè)互聯(lián)網生產中的風險,是保障工業(yè)互聯(lián)網安全的基礎和前提,因此,做好對工業(yè)互聯(lián)網的安全監(jiān)測也是至關重要的一步。
恐懼源于未知,看見才能安全,通過工業(yè)安全監(jiān)測能夠及時發(fā)現(xiàn)工業(yè)互聯(lián)網資產中的安全漏洞,為工業(yè)互聯(lián)網安全管理提供抓手。工業(yè)安全監(jiān)測主要以工業(yè)資產為中心,安全檢測與審計為主線,具有資產自動發(fā)現(xiàn)、漏洞無損識別、威脅實時檢測、行為異常分析、工業(yè)協(xié)議審計等核心功能,幫助工業(yè)企業(yè)自動匹配資產漏洞,發(fā)現(xiàn)潛在的安全隱患,及時處置,保障生產連續(xù)性。
總結
工業(yè)互聯(lián)網企業(yè)在進行安全防護且安全預算有限的情況下,可優(yōu)先做好以上4種防護措施,實現(xiàn)“投入少、見效大”的效果,后續(xù)再持續(xù)完善工業(yè)互聯(lián)網安全防護體系建設,通過產業(yè)協(xié)同機制來構建工業(yè)互聯(lián)網的安全。
參考文獻
[1]https://www.first.org/cvss/v3.1/user-guide
[2]https://nvd.nist.gov/vuln-metrics/cvss#
[3]https://www.us-cert.gov/ics/advisories/icsa-20-035-01
[4]https://www.us-cert.gov/ics/advisories/icsa-20-056-03
[5]https://www.us-cert.gov/ics/advisories/icsa-20-135-02
[6]https://www.se.com/ww/en/download/document/SEVD-2020-161-02/
原文來源:關鍵基礎設施安全應急響應中心 作者:奇安信