近日，根據(jù)Forescout發(fā)布的“冰瀑漏洞”（IceFall）工控安全報(bào)告，安全研究人員在10家OT供應(yīng)商的產(chǎn)品中發(fā)現(xiàn)56個(gè)冰瀑漏洞，這些漏洞表明：工控安全在設(shè)計(jì)層面就存在根本性的重大問(wèn)題。

　　報(bào)告指出，受冰瀑漏洞影響的制造商包括本特利內(nèi)華達(dá)（GE Bently Nevada）、艾默生電氣（Emerson）、霍尼韋爾（Honeywell）、捷太格特（JTEKT）、摩托羅拉、歐姆龍、菲尼克斯電氣（Phoenix Contract）、西門子和橫河電機(jī)（Yokogawa）。受影響產(chǎn)品列表如下：

　　根據(jù)報(bào)告，56個(gè)冰瀑漏洞大致分為以下幾類：

• 遠(yuǎn)程代碼執(zhí)行(RCE)。允許攻擊者在受影響的設(shè)備上執(zhí)行任意代碼，但代碼可能在不同的專用處理器和處理器內(nèi)的不同上下文中執(zhí)行，因此RCE并不總是意味著對(duì)設(shè)備的完全控制。這通常是通過(guò)允許攻擊者提供任意代碼的不安全固件/邏輯更新功能來(lái)實(shí)現(xiàn)的。

• 拒絕服務(wù)(DoS)。允許攻擊者使設(shè)備完全脫機(jī)或阻止訪問(wèn)某些功能。

• 文件/固件/配置操作。允許攻擊者更改設(shè)備的重要方面，例如存儲(chǔ)在其中的文件、在其上運(yùn)行的固件或其特定配置。這通常是通過(guò)缺乏適當(dāng)?shù)纳矸蒡?yàn)證/授權(quán)或完整性檢查的關(guān)鍵功能來(lái)實(shí)現(xiàn)的，這些功能會(huì)阻止攻擊者篡改設(shè)備。

• 憑據(jù)泄露。允許攻擊者獲取設(shè)備功能的憑據(jù)，通常是因?yàn)樗鼈兊拇鎯?chǔ)或傳輸不安全。

• 身份驗(yàn)證繞過(guò)。允許攻擊者繞過(guò)現(xiàn)有的身份驗(yàn)證功能，并在目標(biāo)設(shè)備上調(diào)用所需的功能。

　　最常見(jiàn)的漏洞類型是憑據(jù)泄露(38%)，其次是固件操作(21%)、遠(yuǎn)程代碼執(zhí)行RCE(14%)和配置操作(8%)。報(bào)告還列出了少量DoS、身份驗(yàn)證繞過(guò)、文件操作和邏輯操作錯(cuò)誤（下圖）：

　　“通過(guò)冰瀑漏洞的大規(guī)模披露，希望能對(duì)工控OT網(wǎng)絡(luò)安全設(shè)計(jì)漏洞進(jìn)行定量描述和分析，而不是過(guò)去針對(duì)單個(gè)產(chǎn)品的周期性漏洞爆發(fā)或某個(gè)供應(yīng)商或資產(chǎn)所有者偶發(fā)的‘過(guò)錯(cuò)’，后者經(jīng)常被忽視。”Forescout解釋道。

　　Forescout透露，受冰瀑漏洞影響的產(chǎn)品系列中有74%通過(guò)了某種形式的安全認(rèn)證，并認(rèn)為如果制造商之前進(jìn)行了深入的漏洞掃描，報(bào)告所揭示的大多數(shù)問(wèn)題應(yīng)該相對(duì)快速、輕松地被發(fā)現(xiàn)。

　　除了冰瀑漏洞，報(bào)告還指出工控安全當(dāng)下存在六大常見(jiàn)風(fēng)險(xiǎn)：

　　不安全的設(shè)計(jì)漏洞比比皆是：報(bào)告披露的漏洞中超過(guò)三分之一(38%)允許破壞憑據(jù)，固件操作位居第二(21%)和遠(yuǎn)程代碼執(zhí)行位居第三(14%)。設(shè)計(jì)不安全問(wèn)題的主要例子是與未經(jīng)身份驗(yàn)證的協(xié)議相關(guān)的九個(gè)漏洞，但我們還發(fā)現(xiàn)了許多損壞的身份驗(yàn)證方案，這些方案在實(shí)施時(shí)表現(xiàn)出低于標(biāo)準(zhǔn)的安全控制。

　　易受攻擊的產(chǎn)品通常經(jīng)過(guò)認(rèn)證：受冰瀑漏洞影響的產(chǎn)品系列中有74%具有某種形式的安全認(rèn)證，報(bào)告的大多數(shù)問(wèn)題應(yīng)該在深入的漏洞發(fā)現(xiàn)過(guò)程中相對(duì)較快地發(fā)現(xiàn)。導(dǎo)致此問(wèn)題的因素包括有限的評(píng)估范圍、不透明的安全定義以及對(duì)功能測(cè)試的關(guān)注。

　　由于缺乏CVE，風(fēng)險(xiǎn)管理變得復(fù)雜：僅知道設(shè)備或協(xié)議不安全是不夠的。為了做出明智的風(fēng)險(xiǎn)管理決策，資產(chǎn)所有者需要知道這些組件是如何變得不安全的。不安全設(shè)計(jì)導(dǎo)致的問(wèn)題并不總是能夠分配CVE，因此經(jīng)常被忽視。

　　存在設(shè)計(jì)不安全的供應(yīng)鏈組件：OT供應(yīng)鏈組件中的漏洞往往不會(huì)被每個(gè)受影響的制造商報(bào)告，這導(dǎo)致了風(fēng)險(xiǎn)管理的困難。

　　并非所有不安全的設(shè)計(jì)都是平等的：報(bào)告研究了通過(guò)本機(jī)功能在1級(jí)設(shè)備上獲得RCE的三種主要途徑：邏輯下載、固件更新和內(nèi)存讀/寫(xiě)操作。所分析的系統(tǒng)都不支持邏輯簽名，并且大多數(shù)設(shè)備(52%)將其邏輯編譯為本機(jī)機(jī)器代碼。這些系統(tǒng)中有62%接受通過(guò)以太網(wǎng)下載固件，而只有51%具有此功能的身份驗(yàn)證。

　　攻擊性能力的開(kāi)發(fā)比想象的更容易達(dá)成：對(duì)單個(gè)專有協(xié)議進(jìn)行逆向工程需要1天到2人工周，而對(duì)于復(fù)雜的多協(xié)議系統(tǒng)則需要5到6個(gè)人工月。這意味著，針對(duì)OT的惡意軟件或網(wǎng)絡(luò)攻擊可以由一個(gè)規(guī)模小但技術(shù)嫻熟的團(tuán)隊(duì)以合理的成本開(kāi)發(fā)。

　　總結(jié)：工控安全威脅態(tài)勢(shì)迅速惡化

　　報(bào)告揭示了當(dāng)前工控安全的多層面問(wèn)題：從安全認(rèn)證產(chǎn)品中持續(xù)存在不安全設(shè)計(jì)，到拙劣的安全防御實(shí)踐。糟糕的漏洞管理以及提供虛假安全感的安全認(rèn)證正在使OT風(fēng)險(xiǎn)管理工作變得異常復(fù)雜和艱難。此外，行業(yè)的不透明性正在損害OT產(chǎn)品的安全性。許多不安全的設(shè)計(jì)問(wèn)題并未分配CVE，因此經(jīng)常被忽視并繼續(xù)使用。

　　當(dāng)前階段，各種證據(jù)顯示工控安全威脅態(tài)勢(shì)正在快速惡化。通過(guò)將OT連接到物聯(lián)網(wǎng)和IT設(shè)備，曾經(jīng)因?yàn)椴宦?lián)網(wǎng)而被忽視的漏洞現(xiàn)在已經(jīng)成為對(duì)攻擊者非常有吸引力的目標(biāo)。

　　緩解措施

　　1、發(fā)現(xiàn)和清點(diǎn)易受攻擊的設(shè)備

　　網(wǎng)絡(luò)可視性解決方案可以發(fā)現(xiàn)網(wǎng)絡(luò)中易受攻擊的設(shè)備，并應(yīng)用適當(dāng)?shù)目刂坪途徑獯胧?/p>

　　2、實(shí)施網(wǎng)絡(luò)分段控制和適當(dāng)?shù)木W(wǎng)絡(luò)健康檢測(cè)

　　降低易受攻擊設(shè)備的風(fēng)險(xiǎn)。限制外部通信路徑，并在區(qū)域中隔離或包含易受攻擊的設(shè)備，以便在無(wú)法修補(bǔ)或漏洞修補(bǔ)之前的緩解控制。

　　3、監(jiān)控受影響設(shè)備供應(yīng)商發(fā)布的漸進(jìn)式補(bǔ)丁程序

　　為易受攻擊的資產(chǎn)清單制定補(bǔ)救計(jì)劃，從而平衡業(yè)務(wù)風(fēng)險(xiǎn)和業(yè)務(wù)連續(xù)性要求。

　　4、監(jiān)視所有網(wǎng)絡(luò)流量

　　查看否有試圖利用不安全的設(shè)計(jì)功能的惡意數(shù)據(jù)流。您應(yīng)該阻止異常流量，或者至少向網(wǎng)絡(luò)運(yùn)營(yíng)商發(fā)出警報(bào)。