【技术向】初识SCADA安全风险

发布者:星河Salaxy
发布于:2021-04-01 11:16

一.  SCADA/ICS概述

SCADA或工业控制系统(ICS)是网络攻击/防御组织非常关注的问题。这些系统特别容易受到攻击,原因有很多,包括但不限于——目前许多SCADA / ICS组织一直依靠保密或者网络物理隔离来保证安全。这些工业控制系统对任何国家的基础设施以及经济都至关重要,但随着数字化、信息化的进程,也有越来越多的安全隐患暴露出来。


根据国家工业信息安全漏洞库(CICSVD)提供的数据,2019年至2021年1月20日上报的与SCADA系统有关的漏洞190条,其中超危46条,高危75条,中危61条,低危8条。

图片

国家信息安全漏洞共享平台(CNVD)的数据,2008年至2021年1月20日上报的与SCADA有关的漏洞226条,其中高危90条,中危117条,低危19条。

图片



二.  SCADA/ICS的信息搜集


就像传统网络中的黑客攻击一样,入侵前需要先进行侦察和信息搜集。下面介绍常用的一些方法:Shodan,Google hacking,Nmap来查找SCADA / ICS资产。


SCADA/ICS中使用了多种通信协议,与以太网或Internet协议(IP)不同,工业控制行业采用的协议通常是可编程逻辑控制器(PLC)制造商所独有的。下面列举一些比较流行的通信协议:

图片

当前网络空间测绘系统(国外的shodan和censys,国内的fofa和zoomeye)发展的非常快,可以利用这些系统做根据上述的协议信息做初步的信息搜集。


01

Shodan

搜索端口为502的资产。根据指纹信息可以看到带有较为明显的Modbus协议特征。

图片

进一步的搜索可以发现其中一个是Dimplex公司的一款设备的页面。

图片

也可以直接搜索PLC名称,例如:“Schneider Electric”

图片


02

Google Haking

使用语法inurl:/Portal/Portal.mws l,结果如下所示:

图片

可以直接得到西门子PLC的web管理界面,这种暴露在互联网上的资产是非常危险的。

图片



03

Nmap

上面的两种方法是采用的被动的方式进行侦察,我们还可以使用nmap工具来进行更主动的信息搜集。Nmap内置了600多个脚本,其中工控相关的有10来个,包括bacnet-info、enip-info、fox-info、modbus-discover、s7-info等等,可以针对工业资产进行初步的探测。


下图是扫描的一个内网施耐德PLC的信息:

图片


三.  SCADA/ICS入侵


打开shodan,搜索"Schneider Electric" automation。

图片

根据Karn Ganeshen在2016年研究文章的内容,在施耐德电气楼宇运营自动化服务器1.6.1.5000版本中存在命令执行漏洞,CVE编号为CVE-2016-2278。

该漏洞导致使用admin/admin可以直接ssh登录到后台:

图片

图片


四.  总结


大多数工业企业的SCADA/ICS安全防护仍处于起步阶段,主要依靠模糊性来确保安全性。经过简单的信息搜集、探测后,就可以将这些系统从隐蔽的地方变得易于被地球上任何人看到。即使是只具备基本技能的黑客也可以找到这些系统,如果他们是恶意的,则可以访问这些控制系统并造成严重破坏。


参考链接:

https://cxsecurity.com/issue/WLB-2016030030



声明:该文观点仅代表作者本人,转载请注明来自看雪