近日，頂象洞見安全實驗室發(fā)現西門子多款工業(yè)交換機存在高危漏洞。利用這些漏洞，黑客可遠程竊取敏感信息，直接對聯(lián)網的工控設備下達停止、銷毀、開啟、關閉等各種指令，甚至在網絡內植入木馬病毒。預計至少有17款西門子款設備受影響。

　　頂象洞見安全實驗室已第一時間將相關漏洞細節(jié)上報CNNVD(國家信息安全漏洞庫)和CNVD(國家信息安全漏洞共享平臺)，同時建議使用這些設備的企業(yè)，在漏洞修復前應該禁止非授權IP訪問設備的80和443端口。

　　工控系統(tǒng)一旦遭到攻擊，不僅引發(fā)故障，還會導致安全事故發(fā)生，甚至影響正常公共服務，給社會帶來不可估量的損失。倪光南院士此前就表示，要解決工控安全問題，就是掌握關鍵核心技術，發(fā)展自主可控技術。

　　漏洞是工控風險的源頭

　　漏洞是風險的爆發(fā)源頭，無論是病毒攻擊還是黑客入侵大多是基于漏洞。CNVD“工控系統(tǒng)行業(yè)漏洞”共披露了14萬8000多個漏洞，其中包含西門子、飛利浦等知名企業(yè)的工控設備。

　　頂象洞見安全實驗室研究員在研究中發(fā)現，西門子多款型號的工業(yè)交換機的系統(tǒng)固件存在權限繞過、棧溢出、堆溢出等多個高危漏洞。

　　分析發(fā)現，該系統(tǒng)固件的代碼邏輯設置錯誤，導致權限被輕松繞過。例如，在權限控制方面，滿足A或滿足B的任何一個條件驗證，即可執(zhí)行相應特權操作。這就導致黑客無需任何權限即能夠重啟存在漏洞交換機設備、恢復設備的出廠設置、修改設備的管理密碼、直接遠程關閉存在漏洞的交換機等高權限操作。

　　利用該系統(tǒng)固件存在棧溢出、堆溢出等多個高危漏洞，導致黑客能夠遠程竊取網絡傳輸的工控指令、賬戶密碼等敏感信息，或者發(fā)動中間人攻擊，使得整個網絡如同裸奔。同時，黑客可以直接對聯(lián)網工控設備下達停止、銷毀、開啟、關閉等各種指令，甚至在網絡內植入木馬病毒，直接關停網內生產設備。

　　頂象洞見安全實驗室發(fā)現，西門子至少有17款工業(yè)交換機使用該系統(tǒng)固件。由于該漏洞是存在于某個通用框架中，因此以上漏洞是否影響其他型號設備還在確認中，受該漏洞影響的范圍未知。

　　相關漏洞細節(jié)，頂象洞見安全實驗室已第一時間將已上報CNNVD和CNVD。同時建議使用以上設備的企業(yè)，在漏洞修復之前，不要開啟相關設備的80或者443端口，必須開啟則使用VPN專用網絡;如果用戶網絡已經配置防火墻等安全設施，建議設置相應規(guī)則過濾規(guī)則，禁止非授權IP地址訪問上述端口。

　　工控風險的四大特征

　　工業(yè)交換機是電力、能源、制造等工業(yè)領域內，用于互聯(lián)互通的重要設備。由于工業(yè)系統(tǒng)的本質目標是控制，而互聯(lián)網的核心目標是交換。相較于傳統(tǒng)互聯(lián)網采用平等關系的點對點傳輸模式，工控系統(tǒng)多采用基于主從關系的非對等網絡。尤其隨著智能化、網聯(lián)化的推進，暴露出越來越多的風險。

　　針對工控系統(tǒng)風險現狀，頂象洞見安全實驗室總結了四個特征：

　　1、工控系統(tǒng)的設計主要是專用的相對封閉可信的通信線路，也就是封閉的“單機系統(tǒng)”，原本沒有考慮聯(lián)網需求，系統(tǒng)和聯(lián)網設備也未配置防護系統(tǒng)，存在很多安全缺陷和漏洞。

　　2、工業(yè)設備資產分布廣、設備類型繁多，攻擊行為難以察覺。

　　3、攻擊門檻低，數行代碼即可造成嚴重后果。

　　4、工業(yè)設備的協(xié)議、設備、系統(tǒng)設計復雜，潛在漏洞多，系統(tǒng)更新升級慢、修復維護成本高;而且大量的系統(tǒng)設備需要7×24小時不間斷運轉，沒有機會及時修復補丁。

　　中國信息通信研究院發(fā)布的《2020年上半年工業(yè)互聯(lián)網安全態(tài)勢報告》顯示，上半年發(fā)現惡意網絡攻擊行為1356萬次，涉及2039家企業(yè)。大量老舊工業(yè)控制系統(tǒng)或設備未及時升級或更新補丁，這種“帶病運行”的工業(yè)設備及系統(tǒng)被攻擊門檻很低。

　　自主可控是化解風險的關鍵

　　倪光南院士曾表示，造成工控系統(tǒng)安全漏洞的原因，既有企業(yè)內網的誤用和濫用，也有日趨多樣的外部網絡攻擊，更有工控設備本身的脆弱性。他表示，國內核心控制系統(tǒng)和設備超70%來源于國外廠商，嚴重依賴進口，而進口工控設備后門廣泛存在，很大程度上增加了安全風險。要解決這些問題，就是掌握關鍵核心技術，發(fā)展自主可控技術。

　　“自主可控”是化解工控風險的關鍵。要達成這一目標需要循序漸進：首先要實現風險自主可控，進而達成安全自主可控，最后實現設備與應用的自主可控。

　　風險可控：工業(yè)企業(yè)盡快開展企業(yè)資產和脆弱性識別，擁有發(fā)現風險和感知攻擊的能力，進而才能有效做好風險評估與防控。頂象洞見安全實驗室的IoT-Argus檢測系統(tǒng)，能夠對嵌入式固件系統(tǒng)進行自動化安全掃描，及時發(fā)現存在和潛在的安全漏洞與隱患，并在30分鐘內提供可視化分析報告，幫助企業(yè)時刻了解風險發(fā)現威脅，提升安全保障能力。

　　安全可控：工業(yè)企業(yè)需要制定安全戰(zhàn)略，根根據工控網絡安全設計原則以及設計標準，進行工控網絡安全方案設計，最終完成工控網絡安全防護目標，實現評估、防護和運營的有機結合，形成長期有效的防護機制。

　　設備與應用可控：工業(yè)控制系統(tǒng)生產商、集成商和服務商加強自主創(chuàng)新，攻克工控產業(yè)“貧血”軟肋，建成技術先進、功能完善、安全可靠的工業(yè)操作系統(tǒng)、智能感知、自動控制、智能裝備、網絡連接、工業(yè)軟件等軟件和產品，并打通上下游的信息安全技術和產品壁壘，讓安全一通到底，實現網絡、控制、安全的統(tǒng)一。

　　面對日益復雜嚴峻的安全形勢，需要各界持續(xù)推進工控安全態(tài)勢感知建設，構建上下聯(lián)動、協(xié)調配合的技術保障體系。只有做到自主可控，才能夠形成可持續(xù)發(fā)展。