本文讲的是利用施耐德PLC模拟器漏洞可远程控制工作站,用于向施耐德电气公司各种工业控制器编辑和部署代码的软件存在漏洞,攻击者可向工业工程软件发送恶意代码,远程控制用于编程和控制PLC(可编程逻辑控制器)的工作站。
该软件名为 Unity Pro,运行在工程师所用PC上,包含在往PLC上部署代码前进行测试的模拟器。PLC是监视和控制机械过程的专用硬件设备,工厂、电站、炼油厂、公共事业公司和其他工业机构都要用到,电机的旋转、阀门的启闭等等靠的就是PLC。
工业网络安全公司Indegy的研究人员发现,未授权的攻击者可在安装了 Unity Pro PLC 模拟器的Windows计算机上执行恶意代码。该代码将以调试权限运行,拿下整个系统的控制权。
由于工程工作站通常都装有 Unity Pro,对这些系统的入侵就会为攻击者提供重编程正在生产中的PLC,以及干扰关键过程的能力。而且,这些被入侵的系统还能让攻击者获取到知识产权(IP),比如正在生产中的产品的秘密配方,从部署到PLC上的逻辑程序就能推导出来。
Indegy的研究人员称,Unity Pro PLC 模拟器会在工作站上打开一项网络服务,监听特定TCP端口,允许远程计算机向模拟器发送专有格式的控制代码包。
任何能通过网络与工程工作站通信的计算机,即便没有身份验证,也能发送.apx文件给 Unity Pro PLC 模拟器执行。该模拟器支持施耐德电气公司各种PLC上运行的二进制文件,包括那些使用x86架构的。
Indegy的研究人员可以编制包含恶意x86指令的.apx文件,Unity Pro 软件将开子进程执行之。
问题在于,该进程在Windows系统中是以调试权限运行的,因而你能对该机器做任何想做的事。翻出这个进程很容易,因为根本没沙箱或代码隔离。
由于其特权地位,工程工作站就是工业控制网络的权杖。即便有防火墙将PLC与网络中其他部分进行隔离,工程工作站依然位列白名单中,能够与网络中其他实体进行通信,因为这就是它们的任务。
施耐德电气公司安全顾问称,该攻击至少存在一个受限因素:只有在PLC模拟器里没有其他应用程序运行,或者程序没有密码保护的情况下,攻击才能成功。
因此,新发布的 Unity Pro 11.1 是不会在没有关联应用的情况下启动模拟器的。然而,公司在公告中说道:“选择 Unity Pro 模拟器默认启动应用的决定权在用户,该应用是否采用密码保护也取决于用户。”
另一个限制因素在于,潜在攻击者首先要能访问网络中能与 Unity Pro 工程工作站通信的计算机。
很多种方法都能获取此类计算机的访问权,比如说通过恶意软件攻击、利用其它漏洞,甚至通过恶意内部人士。不过,该漏洞还是凸显出了恰当的网络分段的重要性,工业控制资产,包括工程工作站,应与公司的通用IT网络分隔开来。