2020年2月20日,知名工业网络安全公司Dragos发布的一份2019年度ICS漏洞态势报告,披露了共438个影响工业控制系统(ICS)的漏洞,漏洞的来源覆盖了独立研究人员、供应商和ICS-CERT等。报告列举了排名前五的漏洞数量,分析了漏洞利用的条件、对工业控制系统的可能影响、暴露的可能性,对相关漏洞发布的安全公告中的错误进行了分析,最后分别针对防御者、设备厂商给出了安全建议。综合来看,77%的漏洞涵盖了通常位于控制系统网络深处(包括工程工作站、HMI、操作员面板、工业网络设备和现场设备)的系统。50%以上的漏洞可能导致可见性的丧失(即无法监视或读取系统状态)或失去控制(即无法修改系统状态)。尽管从漏洞的存在到利用漏洞发起攻击直至造成现实的损害,并非轻而易举。基于对攻击者TTPs(策略、技术和程序)复杂程度和攻击能力快速演进的事实以及工业系统数十年甚至几十年的生命周期,防御者的漏洞修复速度要想跑赢攻击者的漏洞利用速度,即快速压缩漏洞利用的窗口期,仍然面临空前巨大的挑战。
一、概述
Dragos分析了212个安全公告(Security Advisories)中涵盖的438个ICS漏洞,与2018年的数量大致相同。在116种独特的缺陷[实际图示中的排名前五的漏洞数量为115个]中,最常见的缺陷是不正确的输入验证、基于堆栈的缓冲区溢出、跨站点脚本(XSS)、硬编码凭据的使用以及不受控制的资源消耗(即DoS)问题。
根据Dragos的报告,去年发布的安全公告中有77%涵盖了通常位于控制系统网络深处的系统中的漏洞。这包括工程工作站、HMI、操作员面板、工业网络设备和现场设备。
该公司表示,有9%的建议涵盖了产品缺陷,这些缺陷可能使攻击者能够从IT网络访问到OT网络,包括历史数据库、OPC服务器、VPN和跨域应用程序。
将近四分之三的安全公告描述了可以从网络利用的漏洞,而其余的则要求对目标计算机进行本地或物理访问。
这家网络安全公司表示,2019年披露的漏洞当中有一半可能导致可见性的丧失(即无法监视或读取系统状态)和失去控制(即无法修改系统状态)。43%的安全公告涉及的缺陷既不会导致可见性下降,也不会导致失去控制。
Dragos发现,有26%的安全公告在初次发布时没有提及补丁,其中四分之三也没有实际的缓解建议。
该公司还发现了安全公告中的错误,发现其中30%包含错误的数据,这一比例与2018年接近。但是,在2019年,只有19%的个体漏洞描述包含错误,而2018年这个比例为32%。
二、ICS漏洞态势分析
1 数据来源说明
Dragos主要通过监测ICS-CERT发布的漏洞公告,同时还评估ICS-CERT未涵盖的产品中的安全公告。在2019年,Dragos仅从其他来源跟踪了五个安全公告,包括工业环境中常用的虚拟专用网(VPN)设备以及工业环境中Web应用程序和工作站安全性常用的第三方软件。
综合利用DRAGOS公司自有的漏洞分析系统进行了438个工业控制系统(ICS)漏洞评估,漏洞来源覆盖独立研究人员、供应商和ICS-CERT。
本报告中的发现是对ICS漏洞统计数据的全面了解,包括它们如何影响工业控制网络以及是否与已发布的公告一起提供适当的缓解措施。Dragos还发现了与公共报告相关的漏洞评分中的错误,这是其漏洞评估的关键部分。通过识别和更新漏洞评分中的错误,Dragos漏洞评估可帮助资产所有者和运营商更好地确定优先级并管理补丁和更新程序。
2 主要发现
被评估的漏洞中有77%被视为“深入”控制系统网络的漏洞,需要对控制系统网络具有访问权限才能利用。
9%的安全公告适用于通常与企业系统相邻的产品相关的咨询,这可能有助于攻击活动的初始突破。
最初的安全公告发布时,有26%的安全公告中没有可用的补丁程序,这对试图修补已发布漏洞的用户提出了挑战。
30%的安全公告发布了不正确的数据,使操作员无法准确地确定补丁管理的优先级。
40%的建议适用于需要用户交互或Internet连接才能利用的工程工作站和操作员站软件,这类漏洞的利用,可能很少或很难依靠工业系统。
3 Top5的漏洞分析
Dragos按照通用漏洞枚举(CWE)清单给出的分类,对排名前5名的CWES分别进行统计,共有115个独特的漏洞。
不正确的输入验证:33个
基于栈的缓冲区溢出:24个
跨站脚本:22个
使用了硬编码的用户凭证:19个
非受控的资源消耗(资源耗尽):17个
4 漏洞利用条件分析
在2019年分析的安全公告中,77%的问题是存在于工业系统网络的深处。这意味着该漏洞仅影响属于工程工作站、人机界面(HMI)系统、操作员面板、工业网络设备和现场设备本身的产品。为了利用这些漏洞,攻击对手将需要对运营网络的具备访问权限。
只有9%的安全公告适用于通常与边界系统相关的产品,包括历史数据库,OPC 服务器,跨域Web应用程序和VPN服务,即那些可能会暴露在架构完善的控制系统上层的公司网络中的应用。此类漏洞可能会潜在方便对手越过IT/OT边界并获得对运营网络的初始访问权限。
其余漏洞不属于这两个类别。这些包括诸如门禁控制系统、视频管理系统以及供暖、通风和空调(HVAC)控制器之类的系统,这些系统通常不会对操作产生直接影响,也不是特定于行业的。但是,对手以前曾利用HVAC承包商连接来获得对建筑控制网络的初始访问权限,并且可以用作初始访问向量。
可通过网络利用的问题占2019年所有安全公告的74%,而其余则需要某种程度的现有或物理访问来利用。网络可利用的漏洞通常不需要攻击者登录到工作站即可利用,但确实需要对目标系统进行一定程度的网络访问。
5 对控制系统的影响分析
Dragos评估每个漏洞对工业控制流程运营的影响。具体而言,对工业流程的威胁导致三种影响:失去可见性、失去控制或两者兼有。在可能的情况下,Dragos进一步澄清了失去可见性是已知的还是未知的,以及在漏洞描述中失去控制是硬还是软。
在2019年,Dragos分析师发现安全公告中涉及的失去可见性和失去控制之间存在高度重叠。
5%的安全公告中的漏洞被利用后,只能导致失去可见性(但不失去控制);
2%的安全公告中的漏洞被利用后,只能导致失去控制(但不会失去可见性);
50%的安全公告中的漏洞被利用后,会同时导致失去可见性和失去控制;
43%的安全公告中的漏洞被利用后,不会直接产生影响。
6 暴露的可能性
大多数工业控制网络以个体实体的形式存在,通过企业或公司网络与Internet隔离开来。在工业控制网络中,设备是分层的--有些设备很近甚至在企业网络内部,而其他设备很深并且更难以访问。
9%的安全公告建议涵盖了在ICS空间中被视为高概率初始突破目标的产品。这些包括数据库服务器、OPC服务器、VPN服务以及其他经常暴露某些公司服务器或工作站的跨域服务。这样的设备可以用作对运营网络的初始突破向量。
40%的安全公告建议涉及工程工作站和操作员站软件。攻击者可以通过说服用户与恶意文件进行交互,或者通过互联网访问易受攻击的设备来利用这些漏洞。注意:此类设备不应连接到Internet,但在工程工作站上看到诸如电子邮件之类的服务并不少见。
37%的安全公告建议涉及现场设备。工业控制器、传感器以及负责将控制器和传感器连接到更广泛的控制系统网络的网络设备。尽管大多数工业控制器在设计上仍不安全,但是工业网络设备中的漏洞,其影响或中断过程自动化的方式比较特殊,不仅难以解决而且难以恢复。在大多数情况下,攻击者需要对设备进行虚拟或物理访问,才能利用现场设备中的漏洞。
三、最终建议
1 对于防御者而言
对于特定于工业的协议,通过限制对TCP/102,TCP/502,TCP/4840,端口44818和2222和TCP/11740+UDP/ 740上的内部组件的访问,可以为最终用户提供最佳服务。
持续监视网络中的可疑行为是非常有帮助的。ICS协议在设计上往往是不安全的,并且可能允许恶意操作,这些恶意操作在技术上不使用漏洞利用程序。在修补了使用上述服务的系统之后,最终用户可能仍然容易受到恶意操作的影响,应监视其控制系统网络中是否存在可疑命令:
»通常是“写”或“断言输出”样式的命令,尤其是来自非HMI系统的命令,以及工程/编程命令来源于通常的工作时间之外,并且通常不用于此目的。
在IT协议方面,HTTP(TCP/80和TCP/443),SNMP(UDP/161)以及Telnet和SSH(TCP/23和TCP/22)是最大的漏洞。在许多情况下,这些服务中的漏洞可能导致操作可见性或控制力的丧失,尤其是当这些服务由PLC和网络交换机或HMI系统等现场设备公开暴露时。
2 对厂商而言
在公开的安全公告中发布缓解指南,应当是对厂商和ICS-CERT都有利的方式。
在阻止对手利用漏洞方面,拒绝在公开的安全公告中提供相关信息几乎无济于事,并伤害了可能缺乏资源或技能来研究软件的防御者。
3 对工业网络安全防御体系而言
威胁情报指引
威胁情报可为网络安全以外的运营提供信息。在发生网络攻击时,有关对手的TTPs(战术、技术和程序)的知识可以为业务连续性和补救计划提供依据。
增加ICS/OT环境可见性
深入了解ICS/OT环境是识别和应对潜在威胁的先决条件,获得有关工业资产及其通信的关键可见性至关重要。作为防守一方,应确保防御能力对资产的全面覆盖。
持续监控ICS/IT环境
部署可映射到针对ICS的MITER ATT&CK框架的专用监控系统。ICS环境提供独特的资产、配置、流程、数据、协议和许多其他独特的特征,这些特征极大地阻碍了传统IT企业产品的有效运行。使用“ IT”方法来实现ICS防御是不够的。Dragos和MITER创建了一个专门用于ICS的框架,以识别针对OT环境的行为和方法。
优先防御“皇冠资产”
寻求实现特定目标的攻击者将针对组织的皇冠资产或价值最高的资产,如果这些资产受到威胁,可能会对组织造成重大影响。
实施基于风险的网络安全方法
了解网络安全事件可能对您的组织和运营产生的潜在影响。通过全面的风险分析,可以根据相关的风险进行规划和投资(例如针对组织的独特环境和需求,准确划定ICS安全控制的范围,量身定制的威胁猎杀,定期的安全评估以及定制的安全服务)。
除了ICS漏洞态势报告之外,Dragos在2月20日还发布了另外两个报告,描述了威胁组织态势,以及从威胁猎杀和事件响应中吸取的教训。三份报告的PDF版本可在Dragos的网站上下载。
天地和兴工控安全研究院编译
参考资源
1、https://www.securityweek.com/over-400-ics-vulnerabilities-disclosed-2019-report
2、2019 YEAR IN REVIEW-ICS VULNERABILITIES,www.dragos.com
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
