研究人员开发了针对PLC的恶意软件,可对工控系统进行攻击
研究人员开发了针对现代可编程逻辑控制器 (PLC) 的恶意软件,以证明可以针对此类工业控制系统 (ICS) 发起远程震网式攻击。
来自佐治亚理工学院的研究人员发表了一篇论文(https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf),详细介绍了这个 ICS 安全项目。
对于传统 PLC,攻击者可以针对控制逻辑层或固件层。固件攻击可以提供高水平的设备控制并且难以检测,但恶意软件的部署可能具有挑战性。控制逻辑恶意软件更容易部署,也更容易检测。这两种情况都要求攻击者拥有对目标组织的工业网络的特权访问权限。
就现代 PLC 而言,许多都包含 Web 服务器,并且可以通过专用 API 和用作人机界面 (HMI) 的常规 Web 浏览器来远程配置、控制和监控它们。
虽然这些现代 PLC 可以为组织提供许多好处,但佐治亚理工学院的研究人员警告说,它们也可以显着扩大 ICS 的攻击面。
为了证明这些风险,研究人员开发了所谓的基于网络的 PLC 恶意软件,该恶意软件驻留在控制器的内存中,但由 ICS 环境中配备浏览器的设备在客户端执行。该恶意软件可能会滥用 PLC 的合法 Web API,导致工业流程中断或机械损坏。
这种新的 PLC 恶意软件易于部署且难以检测。初始感染可以通过物理或网络访问目标基于 Web 的 HMI 来完成,但恶意软件也可以通过使用跨源漏洞劫持 HMI 来直接通过互联网部署。
为了实现持久性,这种新型 PLC 恶意软件利用服务工作线程,允许 JavaScript 代码深入浏览器缓存并独立于安装它的网页执行。此外,文件从服务器删除后,它们将继续运行长达 24 小时。使用这种方法,恶意软件可以在固件更新、新的基于网络的 HMI 甚至硬件更换中幸存。
一旦部署完毕,恶意软件的功能就取决于所使用的合法的基于 Web 的 API 的功能,其中一些 API 非常强大。例如,它们可用于直接覆盖输入/输出值、滥用 HMI 输入、更改设定点和安全设置、欺骗 HMI 显示、更新管理员设置,甚至用于实时数据泄露。
研究人员表示,即使目标 PLC 位于隔离网络中,恶意软件也可以具有命令和控制 (C&C) 连接。
一旦攻击者执行了所需的任务,它就可以通过让恶意软件自我毁灭来掩盖其踪迹,用良性有效负载覆盖恶意有效负载,注销所有服务,甚至可能对设备进行出厂重置。
研究人员通过开发一款名为 IronSpider 的恶意软件来展示他们的工作,该恶意软件旨在针对 Wago PLC。模拟攻击涉及当目标操作员查看特制的广告横幅时,利用以前未知的漏洞来部署恶意软件。该恶意软件可以破坏工业电机造成损坏,同时欺骗 HMI 屏幕以显示正常值并避免引起怀疑。
去年,SecurityWeek在与参与该 PLC 恶意软件项目的佐治亚理工学院研究人员之一 Ryan Pickren 交谈后 描述了一些Wago PLC 漏洞。
IronSpider 与十多年前针对伊朗核计划的臭名昭著的 Stuxnet 恶意软件进行了比较。
“Stuxnet 通过修改控制铀浓缩离心机的变频驱动器的模拟输出信号来破坏伊朗核设施。这次破坏的直接结果是 1,000 多台离心机被物理破坏,设施的运行能力下降了 30%。”研究人员在论文中表示。
他们补充道:“我们的原型恶意软件 IronSpider 能够使用截然不同的方法实现基本相似的攻击。Stuxnet 通过控制逻辑恶意软件攻击 PLC,并通过受感染的工程工作站部署这些恶意软件 [...]。然而,IronSpider 使用基于网络的恶意软件,并通过恶意网站部署该恶意软件,而无需损害任何外围系统。”
虽然该攻击针对的是 Wago 产品,但研究人员确定此类 PLC 恶意软件也可用于攻击西门子、艾默生、施耐德电气、三菱电机和 Allen Bradley PLC。针对这些控制器的攻击涉及利用新发现或先前已知的漏洞。在某些情况下,攻击需要 FTP 密码、不安全协议或内部人员。
专家们创建了一个与供应商无关的框架,可用于构建和分析基于 Web 的 PLC 恶意软件。
“该框架使用广泛适用的策略来探索每个阶段,这些策略可用于大多数现代 PLC 模型,并概述了恶意前端代码如何通过有条不紊地损害 PLC 的 Web 属性来破坏 ICS 环境的完整性。该框架可以用作任何 PLC 供应商和模型的未来研究的基准。”研究人员解释道。
参考链接: https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/
WAGO PFC 200系列17个型号PLC易受远程攻击威胁
可编程逻辑控制器(Programmable Logic Controller,PLC)是一种专门为在工业环境下应用而设计的数字运算操作电子系统,通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程,被广泛应用于机器人行业、制造行业、核能行业、石油和天然气生产和运输以及许多其他工业任务的远程自动化。
SEC Consult的安全研究人员发现,德国WAGO公司旗下PFC 200系列17个型号的PLC易受到远程攻击,详细列表如下:
750-8202
750-8202 / 025-000
750-8202 / 025-001
750-8202 / 025-002
750-8202 / 040-001
750-8203
750-8203 / 025-000
750-8204
750-8204 / 025-000
750-8206
750-8206 / 025-000
750-8206 / 025-001
750-8207
750-8207 / 025-000
750-8207 / 025-001
750-8208
750-8208 / 025-000
研究人员表示,固件版本为02.07.07 的PFC 200系列PLC上运行的软件CODESYS V2.4.7.0存在安全漏洞。CODESYS是一种针对PLC应用的集成开发环境,可供PLC用户轻松完成编程。针对不同的PLC制造商有特定的版本,并一直在进行不断升级和改进。
早在2012年,IOActive的安全研究员Reid Wightman就发现了CODESYS V2.3.x和V2.4.x中的漏洞,允许攻击者对运行这些版本的PLC进行未经授权的远程管理访问。通过这种访问,攻击者可以执行特权操作,包括相当于重新编程设备的文件更改。
在当时,CODESYS官方发布了一个补丁来解决这些漏洞,但需要PLC用户在受影响的设备上进行手动安装。
回到现在,SEC Consult的安全研究人员发现了CODESYS的另一个漏洞,允许攻击者能够在即使安装过早期补丁的设备上也可以进行未经身份验证的远程访问。
根据SEC Consult研究人员的说法,漏洞利用来源于CODESYS运行时包含一个以CODESYS的root权限运行的“plclinux_rt”服务,这允许攻击者可以通过发送特制的数据包来触发以下功能:
任意文件读/写/删除;
切换当前执行的PLC程序中的功能;
循环执行当前执行的PLC程序中的任何功能;
删除当前执行的PLC程序的当前变量列表;
以及更多......
以上这些功能似乎足以干扰当前的PLC编程或引入新的PLC代码来执行远程攻击者所希望进行的任意操作。
WAGO已经证实了漏洞的存在,但强调因为PFC 2001系列PLC 750-88X和PFC 100系列PLC 750-810X部署的是CODESYS 3.5,所以这些产品并不在易受攻击范围内。
到目前为止,WAGO还没有发布关于易受攻击型号产品的针对性安全补丁。但建议可以采用两种临时缓解来暂时解决这个问题:禁用“plclinux_rt”服务或者限制对PLC的网络访问。
鉴于对PLC的高可用性要求,很多用户不太可能会选择禁用该服务。由于大多数工业自动化网络设计利用限制性安全区域,因此后一种措施会是多数用户的选择。
然而,一个很现实问题是值得注意的。根据研究人员使用Censys(一款用以搜索联网设备信息的搜索引擎)进行的一次搜索结果显示,目前存在许多PFC 200系列PLC可以从互联网直接访问。
虽然,这个搜索结果并不能直接证明这些PLC是否易受攻击。但在多年的发展中,CODESYS已经被许多PLC制造商所采用。因此,类似的安全漏洞不可能仅存在于WAGO这一家PLC制造商所生产的产品中。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
相关问答
wagoPLC说明书?
很好,我无法为您提供wagoPLC的完整说明书。wago是一家知名的PLC制造商,其产品广泛应用于工业自动化领域。一般来说,PLC说明书会包含以下内容:产品概述:介绍...
wagoplc优点?
WAGOPlLC控制器的优势:●可使用e!COCKPIT(CODESYS3)和CODESYS2进行编程。●独立于现场总线-支持标准现场总线协议和以太网(ETHERNET)标准。......
wago是什么牌子plc?
德国万可。WAGO所研发的PLC控制器,凭借着优良的紧凑型设计,可靠性高,接口多等特点,一直服务于工业生产。近年来,随着工业信息化建设不断的发展,各个行业对...
BF灯常亮和闪烁的区别是什么?-楼盘网
[回答]BF灯常亮说明是总线出现了故障、或是总线出现了干扰,或是组态不正确。BF灯闪烁说明下挂的PROFIBUS从站出错,出错的原因是因为从站掉电、通讯连接断...
扫一扫微信交流