东北大学“谛听”网络安全团队根据“谛听”网络空间工控设备搜索引擎收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过本白皮书对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。
本白皮书分为9个部分,分别为前言、工控系统安全漏洞概况、联网工控设备分布、SCADA系统安全感知、联网安保摄像头、Struts2远程代码执行漏洞专题、2016典型工控安全事件分析、2016工控安全治理动态和总结。
东北大学“谛听”网络安全团队版权所有,并保留对本报告本声明的最终解释权和修改权。
未经东北大学“谛听”网络安全团队同意,任何人不得以任何形式对本报告内的任何内容进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。
文档依据现有信息制作,其内容如有更改,恕不另行通知。
东北大学“谛听”网络安全团队在编写该文档的时候已尽最大努力保证其内容准确可靠,但难免存在遗漏、不准确、或错误,恳请各界批评指正。
有任何宝贵意见或建议,请反馈至:
电子邮箱:ditecting@gmail.com
官方网站:http://www.ditecting.com
微信公众号:ditecting
1. 前言
2014年2月27日,中共中央总书记、国家主席、中央军委主席习近平在中央网络安全和信息化领导小组第一次会议上讲话强调,没有网络安全就没有国家安全,没有信息化就没有现代化。
2016年4月19日的网络安全和信息化工作座谈会中习近平总书记又谈到推进网络安全和信息化建设,强调了加快构建关键信息基础设施安全保障体系,切实做好金融、能源、电力、通信、交通等领域的关键信息基础设施的安全防护。
2016年7月,为贯彻落实习近平总书记重要讲话精神,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动,在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。
2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,充分落实了国家关键信息基础设施安全保护要求,也为新时期、新形势下做好工控安全防护工作提供了重要的参考。
2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施。
2016年12月27日,国家互联网信息办公室发布了我国首个关于网络空间安全的战略《国家网络空间安全战略》,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。
“十三五”规划开始,网络空间安全已上升至国家安全战略,工控网络安全作为网络安全的中的薄弱而又至关重要部分,全方位感知工控系统的安全态势成为亟待解决的重要问题之一。为顺应国家形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过报告对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。
2.工控系统安全漏洞概况
如下图分别是工控系统行业漏洞危险等级饼状图和工控系统行业厂商漏洞数量饼状图,由图中可知,其中高危漏洞占所有漏洞中的48%,需要引起高度重视。对于厂商漏洞而言,Siemens占比最多,其他厂商占比大致相同,而Siemens的产品在全球范围内使用占比排名靠前,可见,这就使工控系统的安全潜在巨大风险。
截至2017年3月31日,2017年新增工控系统行业漏洞30个,其中高危漏洞15个,中危漏洞15个,这些数据都表明,工控行业漏洞情况不容乐观,需引起相关重视。
3.联网工控设备分布
美国作为世界上最发达的工业化国家,在互联网的新时代背景下,美国倡导“工业互联网”,将智能设备、人和数据连接起来,形成开放而全球化的工业网络。
加拿大的陆地面积大,拥有丰富的能源资源,在航空航天、有色冶金、信息通讯、电力水利、纸浆造纸和新能源新材料等产业方面拥有世界领先水平。
俄罗斯重工业发达,工业基础雄厚,部门全,核工业和航空航天业占世界重要地位,机械、钢铁、冶金、石油、天然气、煤炭、森林工业及化工等也较发达。
法国、意大利等国家大部分为欧盟成员国,是工业革命的发源地,目前也是世界上工业最发达的地区之一。
工业是台湾经济的重要支柱,经过几十年的发展,台湾基本上建立了部门比较齐全、以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系,因此工控系统面临较大安全风险。
对于工控协议的暴露情况,Tridium Niagara Fox占比最多,其次分别为Modbus、EtherNet/IP和Siemens S7等。协议最初设计时候,为了兼顾工业控制系统通信的实时性,很多都忽略了协议通信的机密性、可认证性等。但是随着工业控制系统与信息网络的联系密切,传统观念认为工业内网与互联网物理隔离已经不存在了,所以几乎所有的现场总线协议都是明码通信。近几年,出现了很多针对工控网络的新型攻击方法,如PLC-Blaser病毒,这种病毒是研究人员在实验室测试成功的蠕虫病毒,它能够从一台PLC向另一台PLC传播而无需一台PC或服务器,它的设计是针对Siemens S7系列的PLC的。可见,越是使用广泛的协议越要保证其传输数据的安全性。
如上图所示是以中国视角分析工控设备的暴露情况,其中中国台湾占比最大,其次分别为北京、浙江江苏上海的长江三角洲地区和黑吉辽的东三省地区,众所周知这些都是重点的经济发展区。而对于协议方面,Siemens S7使用最多,因国内使用Siemens产品较多。
由以上的统计图表和分析可知,越是重点的经济发展区,工控系统的暴露数量越多,也就越容易成为首要攻击的目标,需引起高度重视。
4.SCADA系统安全感知
工业控制SCADA(Supervisory Control and Data Acquisition,数据采集与监控)系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,对工业生产过程进行数据采集、监测和控制,保证工业生产过程的正常运转,它是电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业的神经中枢。
2011年3月,安全研究人员路易吉·奥列马发布SCADA攻击代码到一个安全邮件列表。其中,有七个针对SCADA系统的安全漏洞,这表明SCADA也存在安全隐患。
图4-1 法国疑似某水力发电工控SCADA系统
图4-2 分行业SCADA系统数量占比分布图
图4-3中国和美国已知行业SCADA系统数量柱状图
图4-4 中国大陆地区部分SCADA系统分布图
(b)
图4-6 韩国疑似某SCADA系统
(b)
2016年11月3日,工信部发布了“工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知”,《指南》中要求“强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。”可见,国家级层面已经对SCADA的安全开始加大重视力度,避免安全事件的发生。
5. 联网安保摄像头探测
事实上,大量网络摄像头被黑客利用并控制并非危言耸听。有网络安全人员发现,英国部分居民的家庭网络摄像头遭黑客入侵,黑客将其影像信息放到网站上供人随意浏览。可能有数以百计英国用户的生活,在他们不知情的情况下正在网上直播。
为了可以随时远程监控家中和工厂情况,用户经常将摄像头连接上网,但他们往往忘记修改默认密码,而各个品牌摄像头的默认密码在网上已经随手可得。
2016年10月美国DNS域名服务器供应商Dyn遭到了大规模DDoS攻击,从而导致许多网站在美国东海岸地区宕机,事件发生后,全球安全研究专家对此次事件进行了追踪、分析、溯源和响应处置,发现其主要根源之一正是分布于世界各地的安保摄像头。
2017年3月,大华科技针对旗下很多产品推送了固件升级补丁,推出固件的补丁被爆存在后门,利用该后门,就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息,进而登录设备,最终导致设备被黑客完全控制
事实上,在互联网中,摄像头不会被视为特定设备,相反,它们被认为是完整的计算机,可能运行有最新的Windows或者Linux软件,拥有丰富的内存与强大的供电电源,同时也接入快速互联网链接。黑客正是利用这样的认知不对称性实现设备控制,并最终致使互联网陷入崩溃。
根据谛听网络空间工控设备搜索引擎搜集到的大华Dvr和海康威视摄像头的数据,发现暴露在Internet上的安保摄像头中有70%以上使用默认密码,使用默认密码的安保摄像头中50%左右用来监控工业控制系统相关设备厂房,如图5-1所示是“谛听”网络空间工控设备搜索引擎搜集到的中国某些省市使用安保摄像头的情景截图,从这些图中可以清晰地看到厂房监控设备和工业生产过程。
(b)
6.Struts2远程代码执行漏洞专题
编号为S2-045的漏洞,是基于Jakarta plugin插件的Struts远程代码执行漏洞,攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而控制系统。编号为S2-046的漏洞则是攻击者可通过Content-Length或者Content-Disposition构造恶意的OGNL内容,同样会造成远程代码执行。
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2是Struts的下一代产品,是在Struts1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。远程攻击者可以利用该漏洞直接取得网站服务器控制权。
截至2017年3月7日13时,互联网上已经公开了S2-045漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。
“谛听”网络安全团队将“谛听”网络空间工控设备搜索引擎收集到的部分SCADA系统进行Struts2远程代码执行漏洞扫描排查,发现了一部分存在该漏洞的网站系统。如图6-1所示就是其中的一个,是某交通管控平台。虽然Apache Struts官方已在发布的新的版本中修复了漏洞,但是不排除将来会有类似新漏洞的发现,所以这种涉及国计民生的关键信息基础设施更易成为黑客攻击的目标,需引起重视。
图6-1某交通管控平台SCADA系统截图
7.2016典型工控安全事件分析
7.1 以色列电网遭入侵
2016年1月,以色列能源与水力基础设施部部长称,以色列电力供应系统遭受到重大网络攻击,后查明勒索软件造成了此次事故。事件发生后,以色列采取了应急措施,中止以色列电力设施中的大量运行的计算机。
从2015年底乌克兰电网事件到2016年初的以色列电网事件,电网等国家关键基础设施正在遭受越来越多的攻击,对于国家政府而言,对其相应的重视也应越来越大,防止黑客使用不同的手段实施攻击。
7.2 美国大坝遭伊朗黑客攻击
2016年3月,美国司法部公开指责7名伊朗黑客入侵了纽约Bowman Avenue Dam的一个小型防洪控制系统,经执法部门确认,黑客进行了一些信息的获取和攻击尝试,并没有获得大坝计算机系统的控制权。如果大坝受到攻击,可能造成决堤,会威胁附近人民的生活,造成经济损失,后果不堪设想。
7.3 德国核电站检测出恶意程序被迫关闭
2016年4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员为防不测,关闭了发电厂。Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。
众所周知,核电站就是利用核裂变或核聚变反应所释放的能量产生电能的发电厂,核电站在运行过程中会产生大量的放射性物质,一旦核电站被黑客攻击,泄露的物质对环境造成污染的同时,也会对电站工作人员和电站周围居民的健康造成损害,所以,核电站的运行安全更应受到重视。
7.4美国遭史上最大规模DDoS攻击,物联网设备成超级武器
2016年10月,美国DNS域名服务提供商Dyn遭到了DDoS攻击,从而导致许多网站在美国东海岸地区宕机,如GitHub、Twitter、PayPal等,用户无法通过域名访问这些站点。事件发生后,全球安全研究专家对此次事件进行了追踪、分析、溯源和响应处置,发现黑客利用了大量由摄像头等物联网设备组成的僵尸网络发起攻击,且这些设备均感染了Mirai恶意软件。媒体将此次攻击称作是“史上最严重 DDoS 攻击”。
图7-2 美国遭受DDoS攻击范围
2016年工业控制系统网络安全大会上,施耐德工业防火墙被爆存在严重的安全漏洞,该漏洞将会影响施耐德公司 ConneXium 工业级以太网防火墙的安全性,该系列产品主要用于保护数据采集与监视控制系统(SCADA 系统)、自动化控制系统、工业网络、以及其他的一些关键设施。攻击者会利用该防火墙Web管理接口的缓冲区溢出漏洞在目标设备中远程执行恶意代码,并干扰网络通信。目前,施耐德电气已经开发出更新补丁,但还未向用户推送。
在众多的攻击事件中,利用工业控制系统漏洞的占大部分,所以工业控制系统的漏洞更应引起重视,任何一个小的漏洞都可能造成严重的安全事故,不能掉以轻心。
8. 2016工控安全治理动态
8.1中国(参考ICSISIA)
继“工业控制系统深度安全技术”便被列入科技部“网络空间安全”重点专项2016年度项目申报指南之后,2016年8月29日,全国信息安全标准化技术委员会归口的《信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求》等24项国家标准正式发布,其中包含信息安全技术工业控制系统安全应用指南。
2016年7月,为贯彻落实习近平总书记重要讲话精神,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调要加强对关键信息基础设施的保护和开展网络安全检查工作。
2016年10月,工业和信息化部印发的《工业控制系统信息安全防护指南》;2016年12月27日,国家互联网信息办公室发布了《国家网络空间安全战略》;2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》。
8.2美国
2016年,美国斥巨资140亿美元用于支持政府层面的网络安全发展战略;2016年2月,美国白宫国家科技委员会(NSTC)网络和信息技术研发分委会发布《网络安全研发战略规划》,并更新和扩大了 2011 年 12 月发布的《可信网络空间:联邦网络安全研发项目战略规划》;2016年2月,美国总统奥巴马公布《网络安全国家行动计划》;2016 年 11 月,美国国家标准与技术研究所(简称 NIST)发布了《制造业与工业控制系统安全保障能力评估》草案;2016 年 11 月 15 日,美国国土安全部(DHS)发布《保障物联网安全战略原则》。
8.3欧洲
欧盟委员会启动计划在 2020 年前投资 18 亿欧元(约 20 亿美元)用于网络安全公司合作;英国2016年开始实施“网络安全早期加速项目”; 2016 年 2 月, On.Minniti 与 Baldoni 教授发布意大利网络安全框架,作为国家网络安全战略规划的推动机制;2016 年 7 月,欧洲议会全体会议通过《欧盟网络与信息系统安全指令》;2016 年 3 月,丹麦国家情报机构 PET(Politiets Efterretningstjeneste)宣布计划成立丹麦黑客学院,旨在提升本国网络安全能力以及对抗外来的网络威胁。
8.4亚洲
日本计划成立工业网络安全促进机构(ICPA),旨在抵御针对关键基础设施的网络攻击,并以此保证 2020 年东京奥运会期间保护关键基础设施的安全;2016 年 6 月,韩国政府公布了名为“韩国 ICT 2020”(K-ICT 2020)的五年战略规划,旨在将韩国打造成为全球信息安全行业领导者。2016年10 月,在新加坡国际网络周(SICW)开幕式上,新加坡总理李显龙正式宣布了该国的网络安全策略报告。
8.5其他国家
2016年,俄罗斯通过新反恐法案支持网络监控;2016年4月,澳大利亚总理特恩布尔在位于悉尼的澳洲科技园发布了《澳大利亚网络安全战略》。
9. 总结
卡巴斯基旗下的工控系统计算机应急响应小组(ICS-CERT)近日发布了一份报告,报告基于2016年收集到的各种数据详细分析并阐述了工业行业网络的威胁状况。卡巴斯基表示,针对运行Windows且受保护的工业控制系统的各类攻击中,有包括SCADA系统、数据存储服务器、数据网关、工程师和运营者工作站和人机界面(HMI)等。其中,攻击主要是通过互联网(22%)、可删除媒介(11%)和邮件(8%)实施,开发人员和承包商使用的设备通常作为工业控制系统攻击的跳板。对于受攻击的国家而言(相对于他们所托管ICS的总数来讲),越南、摩洛哥、印度尼西亚、伊朗、中国、印度等国家占比较多,而美国和西欧国家占比较少。对于受攻击影响的行业,冶金、电力、建筑和工程行业的工业企业正在受到攻击活动的威胁,卡巴斯基曾检测到的一次鱼叉式钓鱼攻击活动,该攻击针对全球50多个国家的500多家公司,并主要针对上述提到的行业。
由以上的数据中可以看出,2016年是不安全的一年,各类威胁数据持续上升。但是幸运的是,全球各国家已经纷纷意识到工控系统网络安全的重要性,并采取措施加强预警,争取防患于未然。
2017也注定是不能掉以轻心的一年,这一年,工业控制系统恶意软件的威胁将不断增加,黑客的攻击手段也会不断出现新的花样。连接到云和其他网络上的工控设备也将不断增加,这些联网设备将成为黑客的目标,工控安全行业任重而道远。
2016年,“谛听”网络安全团队已为重庆、河北、山东、辽宁等省市制定了工业控制网络安全态势分析报告,指出各对应省市工控系统安全方面存在的问题,其中重庆市根据报告内容做了有效整改。“谛听”网络安全团队表示,愿意尽最大努力,为工业控制系统网络安全保驾护航。0day
文章评论