Stuxnet攻击再现？罗克韦尔自动化PLC曝出严重漏洞

近日，网络安全公司Claroty Team82的研究人员在罗克韦尔自动化（Rockwell）的可编程逻辑控制器(PLC)平台中发现了两个高危漏洞，攻击者可以（远程）利用这些漏洞修改自动化流程，破坏工厂运营、对工厂造成物理损坏或采取其他恶意行为。

在本周发布的安全报告中，研究人员指出其中一个漏洞的危险性堪比Stuxnet（震网病毒），因为它们允许攻击者在PLC上运行恶意代码而不会触发任何明显的异常行为。

罗克韦尔自动化已经为其客户发布了这两个漏洞的安全公告（链接在文末）。

美国网络安全和基础设施安全局(CISA)本周四也发出安全警报，指出使用受影响组件的企业采取缓解措施和应对威胁的检测方法。CISA表示，这些漏洞影响了全球各地的关键基础设施， 并指出这些漏洞的攻击复杂性低，其中一个可被远程利用。

可远程利用漏洞

其中可被远程利用的漏洞(CVE-2022-1161)的严重性等级高达10，并且广泛存在于在罗克韦尔的ControlLogix、CompactLogix和GuardLogix系列控制系统上运行的PLC固件中。据Claroty透露，这些都是罗克韦尔的主要PLC产品线。“这些设备在几乎所有垂直领域都很常见，包括汽车、食品和饮料以及石油和天然气，”Claroty指出：“我们能想到的唯一一个幸免的行业是输电和配电。”

Claroty表示，该漏洞与罗克韦尔的PLC将可执行文件（或字节码）和源代码（也称为文本代码）存储在PLC上不同位置有关。这为攻击者提供了一种在不更改源代码的情况下修改字节码的方法。

“PLC不需要两者兼容，”Claroty指出：“当工程师连接到PLC时，他们会看到运行的文本代码并无异常，而被更改的字节代码会导致恶意代码在没有任何篡改迹象的情况下运行。”

Claroty确定共有17个罗克韦尔PLC型号受到影响。

代码注入漏洞

第二个漏洞(CVE-2022-1159)存在于罗克韦尔的Studio 5000 Logix Designer中，这是工程师用来对其PLC进行编程的软件。该软件允许工程师开发、编译并将新开发的逻辑传输到可编程逻辑控制器系列中。

OT环境中的工程师通常会对PLC中的复杂逻辑进行升级，以改进、调整或修改PLC控制的任何过程。Studio 5000 Logix Designer中的漏洞允许已经在运行该软件的工作站上具有管理访问权限的攻击者劫持编译过程并注入恶意代码，然后他们可以在PLC上执行这些代码而不会触发任何警报。

“CVE-2022-1159使攻击者能够在用户不知情的情况下更改正在编译的代码，”Claroty指出：“这可能会导致工程师无法意识到传输到PLC的逻辑被篡改。”

此漏洞的严重性等级为7.7（满分10），这意味着该漏洞有着高缓解优先级，但不一定是严重漏洞。

类似Stuxnet攻击的可能性

这两个漏洞都存在于不同的罗克韦尔自动化组件中。都可以被攻击者用来改变PLC中的逻辑流程，将新命令发送到系统控制的物理设备中。例如，Claroty研究人员表示，攻击者可将某些标签（或自动化过程变量）更改为不同的值，在现实中，这意味着攻击者可以控制设备（例如发动机转速），从而对自动化过程造成重大损害。

“这是一种类似Stuxnet的攻击，它能在PLC上隐藏已执行的字节码，同时让工程师相信正常代码已被执行，”Claroty指出：“在Stuxnet的案例中，这导致离心机的旋转速度超过了预期，并导致了意想不到的结果。”

对ICS安全性的担忧绝非新鲜事。Claroty最近的一项研究发现，与2020年相比，2021年报告的ICS漏洞增加了52%。与2019年至2020年期间披露的ICS漏洞增加25%相比，这一增长要高得多。2021年ICS产品发现漏洞的82家供应商中,21家之前没有报告任何漏洞，这意味着研究人员已经开始更广泛地寻找ICS漏洞。

Claroty去年发布的一份报告显示，2021年前六个月披露的ICS漏洞中有90%的攻击复杂性较低，71%的严重等级为“高”或“严重”。超过六成(61%)可以远程执行，74%不需要任何权限即可执行。

参考链接：

https://claroty.com/2022/03/31/blog-research-hiding-code-on-rockwell-automation-plcs/

https://idp.rockwellautomation.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Drockwellautomation.custhelp.com%26RelayState%3Danswers%2Fanswer_view%2Fa_id%2F1134276

如何编制PLC程序到指定时间时禁止输出

现在很多客户在设备试用期过后一定时间，不履行合同迟迟不肯将购买设备的余款还清，所以设备制造商也跟着与时俱进。都会在PLC控制程序留有后门，就是到了余款还款期时，采取禁止PLC工作或禁止输出点Y输出，使其设备不能运行。追使客户将余款还清，再将后门解除。

下面以三菱PLC控制器为例

前提是不能让客户上传、下载、观看、修改PLC程序，这在PLC编制软件里可以方便地实现，如下面两张图，这不在本文叙述之内。

设置用户权限

设置密码

三菱PLC里的M8034寄存器的功能是禁止输出，当它为＂1＂时，禁止输出，即输出点Y输出全部为＂0＂。这样受控设备就不能工作了。反之它的值为＂0＂时，禁止输出解除。

利用此功能编制的程序事例如下

限制输出的简易程序

上图中D200、M400、M401都是停电有记忆功能的寄存器（不同型号的三菱PLC控制器有所不同），在将程序下载到PLC里之前，先将相关寄存器清除，因有残余数据，以防止影响到程序运行。

下载前清除残留

D8016~D8018​都特殊寄存器，分别是日、月、年的值，是PLC自带的（注意程序编制好后，下载程序至PLC时，一定要将PLC时钟校准）。

当到指定的日期 (本程序设定的日期是18年6月1~30日)，M401为＂1＂，即是时间过后和停电，它的值保持不变，所以PLC一上电就使M8034为＂1＂，Y被禁止输出。只有在D200里输入的密码等于常数K12345（原先设定的密码值）时，M400为‘’1‘’使M401复位，M8034为＂0＂允许输出点Y输出。

当然指定日期可以是包含在1个月某一天（以防止体息日休息，程序限制输出不起作用），另外也可以用计数加工的工件数来限制输出（用有记忆功能的计数器C）。

阅后，如有更好的方法，请在下方评论区留言，在此感谢。

相关问答

plc汽车遥控器学习方法?

1、解除警戒状态下,先把车门关妥,然后一直踩脚刹不放,在把车门打开,(此时车灯闪烁)。2、将车钥匙从OFF-ON-OFF-ON-OFF-ON连续转换3次并保持在ON位置,(...1...

plc故障灯fault闪什么原因?

检查方法是:拆除输入端的M点,先判断所在组别,再逐个拆除组内连线。或者更换一下24V电源。PLC输出的24V电源具有电流限制的。晶体管输出的PLC其24V输出电源实...

plc双向遥控器匹配方法?

PLC双向遥控器的匹配方法如下:1.先把万用表放在直流电压档,然后给PLC和变频器通电。2.用万用表测量PLC的开关量输入端口电压,确保电压在直流5-30V之间。3...

汽车中控锁自动跳动什么原因_车坛

车中控锁的相关介绍:1、汽车中控锁是指设在驾驶座旁边的开关,是可以同时控制全车车门关闭与开启的一种控制装置。2、当驾驶员锁住其身边的...2、当...

PLC电气控制柜的设计原则是什么?

[回答]柜体通风方案,采用前门下进风上出风的形式,后门不加进出风孔。进、出风口分别装1个通风过滤器来防尘。由于PLC编程控制系统柜内的元件发出的热量较...

在线的同志我想知道！！高炉球团矿使用哪种料位开关测量物位...

[回答]输出范围对应的距离可以任意调整。非常适合于液位、料位、物位等测量。出为标准4-20MA,可以直接接入PLC、次仪表等设备,方便入网。3,具有开关量...

24v电池做什么好?

24V电池在各种应用中表现出色,特别是在以下领域:工业自动化:24V电池是工业自动化控制系统中常见的电源,如PLC(可编程逻辑控制器)、DCS(分散控制系统)和SC...2...

汽车油泵在哪里?汽车中油泵安装的位置在哪里_车主指南

[回答]汽车的汽油泵在油箱里,机油泵在发动机油底壳内

汽车防盗器怎么安装?

汽车防盗器工作原理一般的电子汽车防盗器里有一个集成芯片,里面有一些开关门,当外加一个触发电压的时候,开关门就打开输出一个正电压到驱动电路,推断...此工序...

大侠们！懂行的朋友请回答：南宁现货供应猪场20吨热镀锌自动...

[回答]触器的电磁线圈驱动电压...2、工作要求:(1)按下停止按钮后小车行驶到LS0原位停止.(2)当呼叫的按钮PB按下时,小车运行至呼叫的PB位置后停止,打开车...