一. SCADA/ICS概述
SCADA或工业控制系统(ICS)是网络攻击/防御组织非常关注的问题。这些系统特别容易受到攻击,原因有很多,包括但不限于——目前许多SCADA / ICS组织一直依靠保密或者网络物理隔离来保证安全。这些工业控制系统对任何国家的基础设施以及经济都至关重要,但随着数字化、信息化的进程,也有越来越多的安全隐患暴露出来。
根据国家工业信息安全漏洞库(CICSVD)提供的数据,2019年至2021年1月20日上报的与SCADA系统有关的漏洞190条,其中超危46条,高危75条,中危61条,低危8条。
国家信息安全漏洞共享平台(CNVD)的数据,2008年至2021年1月20日上报的与SCADA有关的漏洞226条,其中高危90条,中危117条,低危19条。
二. SCADA/ICS的信息搜集
就像传统网络中的黑客攻击一样,入侵前需要先进行侦察和信息搜集。下面介绍常用的一些方法:Shodan,Google hacking,Nmap来查找SCADA / ICS资产。
SCADA/ICS中使用了多种通信协议,与以太网或Internet协议(IP)不同,工业控制行业采用的协议通常是可编程逻辑控制器(PLC)制造商所独有的。下面列举一些比较流行的通信协议:
当前网络空间测绘系统(国外的shodan和censys,国内的fofa和zoomeye)发展的非常快,可以利用这些系统做根据上述的协议信息做初步的信息搜集。
01
Shodan
搜索端口为502的资产。根据指纹信息可以看到带有较为明显的Modbus协议特征。
进一步的搜索可以发现其中一个是Dimplex公司的一款设备的页面。
也可以直接搜索PLC名称,例如:“Schneider Electric”
02
Google Haking
使用语法inurl:/Portal/Portal.mws l,结果如下所示:
可以直接得到西门子PLC的web管理界面,这种暴露在互联网上的资产是非常危险的。
03
Nmap
上面的两种方法是采用的被动的方式进行侦察,我们还可以使用nmap工具来进行更主动的信息搜集。Nmap内置了600多个脚本,其中工控相关的有10来个,包括bacnet-info、enip-info、fox-info、modbus-discover、s7-info等等,可以针对工业资产进行初步的探测。
下图是扫描的一个内网施耐德PLC的信息:
三. SCADA/ICS入侵
打开shodan,搜索"Schneider Electric" automation。
根据Karn Ganeshen在2016年研究文章的内容,在施耐德电气楼宇运营自动化服务器1.6.1.5000版本中存在命令执行漏洞,CVE编号为CVE-2016-2278。
该漏洞导致使用admin/admin可以直接ssh登录到后台:
四. 总结
大多数工业企业的SCADA/ICS安全防护仍处于起步阶段,主要依靠模糊性来确保安全性。经过简单的信息搜集、探测后,就可以将这些系统从隐蔽的地方变得易于被地球上任何人看到。即使是只具备基本技能的黑客也可以找到这些系统,如果他们是恶意的,则可以访问这些控制系统并造成严重破坏。
参考链接:
https://cxsecurity.com/issue/WLB-2016030030