2021年上半年工业控制系统漏洞分析
随着越来越多的企业通过将其工业流程连接到云计算来实现现代化,给攻击者提供了更多途径,通过勒索软件攻击来危害工业运营。
根据Claroty最新发布的报告,随着针对关键基础设施和工业企业的高调网络攻击将工业控制系统(ICS)安全问题提升为一个主流问题,工业控制系统的漏洞披露也急剧增加。
该报告涵盖了今年上半年披露的ICS和OT漏洞,不仅提供了关于工业设备中普遍存在的漏洞的数据,还提供了围绕它们的必要背景,以评估各自环境中的风险。
一、ICS安全研究和披露趋势
1、ICS漏洞披露
ICS漏洞披露正在显着加速,揭示了在运营技术(OT)环境中发现的安全漏洞的严重程度。2021年上半年披露了637个ICS漏洞,比2020年下半年披露的449个漏洞增加了41%。其中81%是由受影响供应商的外部来源发现的,包括第三方公司、独立研究人员、学者和其他研究组。此外,42名新研究人员报告了漏洞。
71%的漏洞被归类为高危或严重漏洞,反映了暴露的高度严重性和影响性质及其对运营的潜在风险。
90%的攻击复杂性较低,这意味着不需要特殊条件,攻击者每次都可以重复成功。
74%的攻击者不需要权限,这意味着攻击者未经授权且不需要访问任何设置或文件;66%的攻击者不需要用户交互,例如打开电子邮件、单击链接或附件或共享敏感的个人或财务信息。
61%是可远程利用的,这表明保护远程连接、物联网(IoT)和工业IoT(IIoT)设备的重要性。
65%可能会导致完全丧失可用性,从而导致资源访问被拒绝。
26%要么没有可用的修复程序,要么只有部分补救措施,这突显了与IT环境相比,确保OT环境安全的关键挑战之一。
在ICS-CERT警报和供应商建议中提到的最重要的缓解措施,包括网络分段(适用于59%的漏洞)、安全远程访问(53%)和勒索软件、网络钓鱼和垃圾邮件防护(33%)。
Team82在2021年上半年发现并披露了70个漏洞,超过了Claroty在2020年披露的所有漏洞。总的来说,Team82已经披露了超过150个影响ICS设备和OT协议的漏洞。
Team82的研究调查了影响该行业众多部门的各种供应商和产品。由于这些参数,Claroty还研究第三方产品。Team82在2021年上半年发现的70个漏洞影响了20家自动化和技术供应商。以下两个图表分别列出了受影响的供应商和ICS产品类型:
2、受影响的ICS产品
每个披露的漏洞都可标记为固件或软件漏洞。在某些情况下,一个漏洞会影响这两个方面的多个组件。在2021年上半年,大多数漏洞会影响软件组件,鉴于软件打补丁比固件打补丁相对容易,防御者有能力在其环境中优先打补丁。
在检查产品系列中的固件和软件漏洞时,重要的是要了解,虽然在可分为固件或软件的组件中发现漏洞,但需要考虑受其影响的产品。例如,HMI上可能存在易受攻击的软件配置,或者可能存在连接到泵的以太网模块。下图显示了受这些漏洞影响的产品系列,其类别如下所示:
由于23.55%的漏洞影响普渡模型的运营管理(第三层)层级,这就解释了为什么许多漏洞影响软件组件。此外,发现的大约30%的漏洞影响普渡模型的基本控制(第一层)和监督控制(第二层)层级。当然,在影响这些层级时,攻击者也可以到达较低的层级并影响过程本身,这使其成为有吸引力的目标。
二、评估2021年上半年披露的所有ICS漏洞
2021年上半年发布的所有工业控制系统漏洞的统计数据包括Team82发现和披露的漏洞,以及其他研究人员、供应商和第三方在2021年上半年公开披露的所有其他漏洞。Team82的信息来源包括:国家漏洞数据库(NVD)、ICS-CERT、CERT@VDE西门子、施耐德电气和MITRE。
在2021年上半年,发布了637个ICS漏洞,影响了76个ICS供应商。2021年上半年,80.85%的漏洞是由受影响供应商以外的来源发现的,外部来源包括许多研究机构,包括第三方公司、独立研究人员和学者等。
下图分析了以第三方公司为首的外部来源披露的漏洞数量,在2021年上半年发现了341个漏洞(占53.87%)。这些公开的漏洞中,有许多是由网络安全公司的研究人员发现的,这表明,在IT安全研究的同时,重点也转移到了工业控制系统。需要指出的是,一些披露是多个研究小组之间的合作,或者不同的研究人员分别发现和披露了相同的漏洞,在2021年上半年有139个漏洞。
2021年上半年披露的637个ICS漏洞影响了76家供应商的产品,受影响的供应商数量比2020年下半年有所增加(59家),该数据2020年上半年为53家。
西门子是报告漏洞最多的供应商,共有146个漏洞,其中许多漏洞是西门子CERT团队进行的内部研究披露的,其次是施耐德电气、罗克韦尔自动化、WAGO和研华科技。
重要的是要认识到,受到大量公开漏洞的影响并不一定意味着供应商的安全状况不佳或研究能力有限。一个分配了大量资源来测试其产品安全性的供应商,很可能比一个忽略了在相同程度上检查其产品的供应商发现更多的漏洞。每个供应商的目录和安装基础也往往会影响其产品所披露的漏洞的数量。
在2021年上半年,其产品未受到2020年披露的ICS漏洞影响的20家供应商受到了2021年上半年披露的至少一个ICS漏洞的影响。
这些供应商中有六家专门从事医疗技术,三家专门从事自动化,两家专门从事制造业。影响这些新受影响的供应商(20个供应商中的16个)的漏洞是由先前披露漏洞的研究人员发现的。
三、ICS漏洞带来的威胁和风险
虽然报告中的许多数字令人大开眼界,令人印象深刻,但确实说明了一种持续趋势:披露的漏洞数量及修补或缓解的漏洞持续呈上升趋势。这一增长背后有许多因素,首先是越来越多的研究人员正在寻找ICS产品和OT协议中的漏洞。
此外,在IT下集成了OT管理或将云引入OT的组织不仅提高了业务效率和分析能力,而且还在扩大了威胁攻击面,并将本不打算连接的设备暴露在互联网中。
最重要的是,深入研究了补丁和其他补救措施,包括供应商提供的缓解措施。软件漏洞的修补速度比固件漏洞高得多。在ICS和OT安全圈中,由于打补丁和产品更新需要停机时间,这在许多领域是无法接受的。因此,对于使用者来说,缓解措施具有重大意义。通过衡量供应商和行业CERT最推荐的缓解措施,发现网络分段和安全远程访问无疑是2021年上半年最主要的缓解措施。
随着气隙式OT网络成为过去,网络分段在缓解措施中占据了突出地位。虚拟分区(专为工程或其他面向流程的功能量身定做的特定于区域的策略)等技术也将成为不可或缺的缓解手段。
与此同时,安全远程访问是仅次于分段的首要缓解步骤。适当的访问控制和特权管理对于阻止下一个Oldsmar类型的事件有很长的路要走,更重要的是,防止以利润为导向的参与者通过IT和OT网络横向移动,窃取数据,并释放勒索软件等恶意软件。
针对固件修复的很少。几乎62%的固件漏洞没有得到修复或建议进行部分修复,而其中大多数漏洞都是部署在普渡模型第一层的产品中。
四、下半年值得关注的趋势
下半年会有三个重要的趋势:OT云迁移、针对关键基础设施和OT的勒索软件攻击,以及即将出台的美国网络立法。
1、OT云迁移
推动企业将云引入工业流程的势头是不可否认的。当公司开始从云计算管理OT和IT时,这种融合将带来许多共同的风险。
数据安全曾经是工业流程的一个风险较低的变量,但现在也将被提升为优先事项,特别是在监管严格的行业,组织不仅必须评估威胁,还必须评估风险。
例如,加密可能会使一些工具无法获得对网络资产的完全可见性。在气隙环境中,这可以被认为是可接受的风险,但一旦资产暴露在网上,情况就不同了。最好的做法是在传输过程中对数据进行加密,并在数据静止时进行加密,以确保在发生事故时能够充分恢复数据。随着公司开始将服务和应用放到云端,从第一层设备如PLC接收数据,这一点将尤为明显。
身份验证和身份管理也必须是组织的云OT深度防御计划的一部分。2019年新冠疫情大流行加速了远程工作,今年2月的Oldsmar事件已经证明了对系统访问和特权管理控制不力所带来的风险。
迁移到基于云的基础设施通常意味着组织基础设施(IT或OT)的一部分托管在第三方云提供商(如谷歌、Amazon和Microsoft)的远程服务器上。基础设施包括一个基于云的管理平台,以支持组织服务的不同用户,例如管理员或工程师。基于用户和角色的策略必须定义用户可以执行哪些功能,以及根据他们的角色拥有哪些特权。
云计算有三种类型:公共云计算、私有云计算和混合云计算。
2、勒索软件和勒索攻击
虽然目前还没有看到勒索软件专门影响第一层设备,但攻击者已经成功地影响了工业运营。最著名的例子是针对Colonial Pipeline的攻击,在IT系统被勒索软件感染后,该公司非常谨慎地关闭了美国东海岸上下的燃料输送。
攻击者在使用勒索软件时变得更加谨慎,他们会搜寻他们认为最有可能支付高额赎金的受害者。虽然市政府、医疗保健和教育部门一度被认为是勒索软件攻击的目标,但大型制造企业和关键基础设施现在成了众矢之的。
另一种在以盈利为目的的攻击团体中流行的策略是高级入侵,即窃取敏感的业务或客户数据,以及公开泄露这些信息的威胁,同时可能会使关键系统受到勒索软件的感染。再次,攻击者把目标对准了可能满足他们需求的高价值组织。据称,Colonial Pipeline和JBS Foods都向威胁参与者支付了数百万美元加密货币,以恢复加密系统。
随着越来越多的公司将ICS设备连接到互联网并融合OT和IT,对网络资产的可见性至关重要,关于可能被攻击者利用的软件和固件漏洞的信息也是如此。例如,运行在基于Windows的机器上的工程工作站的缺陷,可能会让攻击者破坏IT和OT网络之间的这些交叉点,并修改流程,或者投放勒索软件,阻碍可能影响公共安全或国家安全的关键服务的提供。
除了传播钓鱼攻击的基于电子邮件的威胁外,防御者还需要关注安全的远程访问,以及在虚拟专用网络和其他基于网络的攻击载体中发现的漏洞集合。Team82数据中超过60%的漏洞可以通过网络攻击载体进行远程攻击。这强调了保护远程访问连接和面向互联网的ICS设备的重要性,并在攻击者能够在网络和域之间横向移动以窃取数据和丢弃勒索软件等恶意软件之前将其切断。
3、悬而未决的美国网络立法
在2021年上半年,对Oldsmar、Colonial Pipeline和JBS Foods的攻击表明,关键基础设施和制造业暴露于互联网的脆弱性。这些攻击表明,攻击者可以找到弱点,改变公共饮用水中的化学物质含量,或者使用大宗商品勒索软件关闭燃料和食品运输系统。
这些恶意攻击活动也引起了美国政府的关注。许多政府支持的网络相关活动特别指出,工业网络安全对于国家安全和美国经济至关重要。
美国总统拜登在7月签署了一份关键基础设施国家安全备忘录,该备忘录建立了工业控制系统网络安全倡议,这是一项针对私营部门所有者和运营商的自愿行动,旨在使其系统与当前威胁保持一致。美国政府将在9月前制定性能目标,这些自愿计划将不可避免地成为强制性措施,以部署能够提供OT网络可视性和威胁检测的技术。
备忘录是在5月份签署的一项行政命令之后签署的,该命令旨在改善私营和公共部门之间的威胁信息共享、实现联邦网络安全标准的现代化,加强供应链安全、建立网络安全审查委员会,制定应对网络事件的标准手册,改进联邦网络上的事件检测,以及更好的调查和补救能力。
此前,为改善电网网络安全进行了为期100天的冲刺,这也强化了公共事业私营部门所有者和政府之间更好地共享信息的主题。拜登政府还通过TSA对殖民地管道事件做出了强烈反应,并发布了一项安全指令,要求提高管道网络的恢复能力,包括在检测后12小时内强制报告事件、定期进行脆弱性评估,以及防止勒索软件攻击。
展望未来,华盛顿的法案草案包括在事件发生后严格的报告要求。必须保持谨慎和耐心,确保这些规定不会给资源不足的小型公用事业和关键基础设施运营商,带来额外风险或不切实际的期望。
政府必须在识别和清除网络攻击者的目标与对公司监管之间取得平衡,而这些公司将从指导和资金中受益。此外,还必须了解OT漏洞管理的现实情况,以及在高可用性环境中为工业设备打补丁,或更新数十年未连接到互联网或更新的老设备所面临的挑战。
这是关键基础设施内的动态防御者必须面对的问题,以确保在没有立即修补选项的情况下,或在提供完整的软件或固件更新之前,能够为需要缓解措施的防御者提供缓解措施。
五、上半年关键事件
以下事件和趋势可能在一定程度上帮助塑造了2021年上半年的ICS风险和漏洞格局。
1、COLONIAL PIPELINE攻击事件
美国东海岸最大的汽油、柴油和天然气分销商Colonial Pipeline遭到勒索软件攻击,影响了石油和天然气运输。5月7日的停产对该行业造成了立竿见影的影响,因为东海岸大约45%的燃料由殖民地供应。停电导致汽油和家庭取暖油价格上涨,许多加油站燃料耗尽。这是殖民地公司57年历史上的第一次关闭。殖民地于5月13日恢复运营。
据称,俄罗斯网络犯罪集团DarkSide对此次攻击负责,该集团销售勒索软件即服务(RaaS)。DarkSide窃取敏感数据并勒索受害者,并威胁称,如果赎金要求得不到满足,就会公布这些数据。根据之前的报道,DarkSide似乎只寻找有能力支付高额赎金的受害者,他们声称不针对医疗机构、教育机构或政府机构。Colonial为此支付了440万美元的比特币赎金,但其中230万美元被美国政府追回,但据报道,攻击发生后不久,DarkSide就放弃了运营。
2、Oldsmar水利攻击事件
2月5日,佛罗里达州奥尔兹马尔的一个水处理设施遭到袭击。Oldsmar设施内的操作员检测到来自工厂外的两次入侵,第二次入侵涉及一名远程攻击者,该攻击者通过TeamViewer桌面共享软件连接,TeamViewer桌面共享软件是用于技术支持的合法远程访问解决方案。
远程攻击者将住宅和商业饮用水中的氢氧化钠含量,从百万分之100改变为百万分之1100。氢氧化钠(又名碱液)被添加到水中以控制酸度和去除某些金属。碱液也是下水道清洁剂中的主要试剂,是一种腐蚀性物质,如果食用就会有危险。
运营商切断了攻击者的连接,并在水处理系统固有安全措施的支持下,防止污染水进入公众。
3、JBS FOODS攻击事件
5月30日,全球最大的肉类供应商JBS遭到勒索软件攻击,导致澳大利亚、加拿大和美国的工厂关闭。美国的工厂关闭也导致近五分之一的肉类加工能力丧失。联邦调查局将这次攻击归咎于REvil,也被称为Sodinokibi。
Revil是一个提供RAAS的黑客组织。他们以敲诈巨额赎金、针对大公司、在加密之前窃取数据进行双重勒索而闻名,并将这些数据发布在一个名为Happy Blog的暗站上。
JBS维护一个备份系统,并能够使用它恢复操作以恢复数据。尽管如此,该公司为挽回损失,还是向攻击者支付了1100万美元的赎金。
