黑客可利用伪工程工作站接管西门子 PLC-快快网络

快快网络高防服务器租用,云堤清洗,安全领域专业提供商

 返回

2019-08-21

黑客可利用伪工程工作站接管西门子 PLC

以色列两家大型的研究人员证明，恶意黑客不仅能利用伪工程工作站接管西门子可编程逻辑控制器 (PLC)，还能让监视该系统的工程师根本发现不了。

西门子 SIMATIC S7 PLC 与作为工程工作站和人机接口 (HMI) 的 TIA Portal (WinCC) 软件间采用 S7 网络协议通信。以色列理工大学和特拉维夫大学的研究人员日前便逆向工程了该 S7 网络协议。

最近几年，西门子全球 PLC 市场份额超 30%，已是市场最大供应商。所以，这些控制器很有可能被试图破坏工业环境的恶意黑客盯上，正如 2010 年伊朗核设施遭遇的震网攻击所演示的那样。

西门子 PLC 近些年来屡曝严重漏洞，研究人员已经演示过其中一些具破坏性的攻击。

西门子控制器所用最新版 S7 协议确实采用了某些防御机制，包括加密消息完整性检查之类应保护通信不受恶意篡改的机制。

然而，逆向工程了该协议之后，以色列研究人员成功开发出模仿 TIA Portal 的伪工程工作站，可与西门子 PLC 交互。只要能访问目标公司的网络和 PLC，攻击者便可以设置这样一个伪工作站。

专家已证明，此类伪工程工作站可以向 S7-1500 PLC 发送指令，指示其启动或关闭。取决于控制器的用途，伪工程工作站可能造成很严重的危害。

不仅如此，伪系统还可用于远程下载恶意控制逻辑程序到控制器上。

在被描述为隐藏程序注入的攻击中，专家成功了下载了一段恶意程序到 PLC 上，同时躲过了工程师的视线。之所以能做到这一点，是因为程序下载消息中既包含程序的源代码，也包含将在 PLC 上运行的二进制（已编译）代码。攻击者可以分别修改这两种代码，让未编译代码保持原样——这部分代码将展示给工程师看，而对发送给控制器的已编译代码进行恶意修改。

“必须指出，我们的发现本身不是可以快速修复的‘漏洞’：该协议的面纱一经揭开，我们发现，此类攻击其实是协议所用加密设计选择的结果。

研究人员将该攻击方法命名为 “Rogue7”，已于 8 月 8 日在拉斯维加斯黑帽安全大会上披露。包含技术信息的相关研究论文也已发布。

收到媒体《SecurityWeek》的评论请求后，西门子称，公司已知悉该研究，计划发布产品更新以解决专家发现的某些问题。不过，该公司也表示，其产品已经包含了安全功能，比如 Access Protection（访问保护），应该可以缓解此类攻击。

该公司在电子邮件声明中称：西门子公司建议用户激活这些保护功能，并应按照发布在西门子工业安全网站上的操作指南来安装产品。

韩国研究人员也发出了新西门子PLC漏洞警告

上个月，韩国 NSHC 的研究人员报告称，在西门子 S7 PLC 中发现可用于重放攻击的一个“零日漏洞”。

该公司向媒体透露称，已进入目标公司网络且可发起中间人攻击 (MitM)的攻击者，能够利用该技术实施拒绝服务攻击 (DoS)，甚至可以执行任意指令。

NSHC 发布了一段视频，清晰演示如何利用该漏洞造成严重的破坏。

但是，西门子向媒体表示，已对此进行了内部调查，并确定 NSHC 所发现的并非切实的漏洞。

“研究人员似乎通过逆向工程收集的信息，开发了兼容 S7 通信协议的客户端，只有有限的功能。

西门子公司建议 Simatic S7-1200/S7-1500/Software Controller 用户启用‘Access Protection’功能，防止设备未授权修改。

Rogue 7 研究论文：