工業無線物聯網解決方案中的缺陷可讓攻擊者深入訪問 OT 網絡

更多地使用工業蜂窩網關和路由器會使 IIoT 設備暴露給攻擊者并增加 OT 網絡的攻擊面。

運營技術 (OT) 團隊通常通過無線和蜂窩解決方案將工業控制系統 (ICS) 連接到遠程控制和監控中心，這些解決方案有時帶有供應商運行的基于云的管理界面。這些連接解決方案，也稱為工業無線物聯網設備，增加了 OT 網絡的攻擊面，并且可以為遠程攻擊者提供進入包含關鍵控制器的先前分段網絡段的捷徑。

工業網絡安全公司 Otorio 最近發布了一份報告，強調了這些設備容易受到的攻擊向量以及該公司的研究人員在幾種此類產品中發現的漏洞。Otorio 研究人員在他們的報告中說：“工業無線物聯網設備及其基于云的管理平臺是攻擊者在工業環境中尋找初步立足點的有吸引力的目標。” “這是由于對漏洞利用和潛在影響的最低要求。”

傳統 OT 網絡架構的轉變

OT 安全通常遵循 Purdue 企業參考架構 (PERA)模型來決定在何處放置強大的訪問控制層并進行分段。該模型可追溯到 1990 年代，將企業 IT 和 OT 網絡分為六個功能級別。

0 級是直接影響物理過程的設備，包括閥門、電機、執行器和傳感器等。

第 1 層或基本控制層包括現場控制器，例如可編程邏輯控制器 (PLC) 和遠程終端單元 (RTU)，它們根據工程師上傳的邏輯（程序）控制這些傳感器、閥門和執行器。

第 2 層是監督控制層，包括監督控制和數據采集 (SCADA) 系統，這些系統收集從第 1 層控制器接收到的數據并根據這些數據采取行動。

第 3 層是現場控制層，包括直接支持工廠運營的系統，例如數據庫服務器、應用程序服務器、人機界面、用于對現場控制器進行編程的工程工作站等。這通常稱為控制中心，并通過非軍事區 (DMZ) 連接到組織的通用 IT 企業網絡（第 4 級）。

正是在這個 DMZ 中，組織將他們的邊界安全工作集中在其網絡的 IT 和 OT 部分之間。額外的控制通常放在 3 級和 2 級之間，以保護現場設備免受入侵控制中心。

然而，一些組織可能有遠程工業裝置，他們需要連接到他們的中央控制中心。這在天然氣和石油等行業更為常見，運營商在不同地點擁有多個油田和氣井，但它在其他行業也很普遍。遠程 0-2 級設備和 3 級控制系統之間的這些鏈接通常由工業蜂窩網關或工業 Wi-Fi 接入點提供。

這些工業無線物聯網設備可以通過多種協議（如 Modbus 和 DNP3）與現場設備通信，然后使用各種安全通信機制（如 VPN）通過互聯網連接回組織的控制中心。許多設備制造商還為工業資產所有者提供基于云的管理界面，以遠程管理他們的設備。

工業無線物聯網設備中的漏洞

這些與連接到互聯網的任何其他設備一樣，增加了 OT 網絡的攻擊面并削弱了組織傳統上實施的安全控制，為攻擊者提供了進入 OT 網絡較低級別的旁路。Otorio 研究人員在他們的報告中說：“利用 Shodan 等搜索引擎，我們觀察到工業蜂窩網關和路由器的廣泛暴露，使它們很容易被發現并且可能容易受到威脅行為者的利用。” 他們關于具有可訪問互聯網的 Web 服務器和接口的設備的一些發現包括：

研究人員聲稱，他們在來自其中三個供應商（Sierra、InHand 和 ETIC）的設備的基于 Web 的界面中發現了 24 個漏洞，并設法在所有這三個供應商上實現了遠程代碼執行。

雖然其中許多漏洞仍在負責任地披露過程中，但已經修補的漏洞影響了 Sierra Wireless AirLink 路由器，并被跟蹤為 CVE-2022-46649。這是路由器基于 Web 的管理界面 ACEManager 的 IP 日志記錄功能中的一個命令注入漏洞，是 Talos 研究人員在 2018 年發現的另一個漏洞的變體，該漏洞被追蹤為 CVE-2018-4061。

事實證明，Sierra 為解決 CVE-2018-4061 而實施的過濾并未涵蓋所有漏洞利用場景，Otorio 的研究人員能夠繞過它。在 CVE-2018-4061 中，攻擊者可以使用 -z 標志將額外的 shell 命令附加到由 ACEManager iplogging.cgi 腳本執行的 tcpdump 命令。此標志由命令行 tcpdump 實用程序支持，用于傳遞所謂的 postrotate 命令。Sierra 通過執行一個過濾器來修復它，該過濾器從傳遞給 iplogging 腳本的命令中刪除任何 -z 標志，如果它后面跟著空格，制表符，換頁符或垂直制表符，這將阻止，例如，“tcpdump -z reboot ”。

根據 Otorio 的說法，他們錯過的是 -z 標志后面不需要任何這些字符，并且像“tcpdump -zreboot”這樣的命令可以很好地執行并繞過過濾。單靠這種繞過仍然會限制攻擊者執行設備上已經存在的二進制文件，因此研究人員開發了一種方法，將他們的有效負載隱藏在通過另一個名為 iplogging_upload.cgi 的 ACEManager 功能上傳到設備的 PCAP（包捕獲）文件中。這個特制的 PCAP 文件在被 sh（shell 解釋器）解析時也可以充當 shell 腳本，并且可以通過使用 iplogging.cgi 中的 -z 漏洞觸發其解析和執行。

云管理風險

即使這些設備不將其基于 Web 的管理界面直接暴露給互聯網（這不是一種安全的部署做法），遠程攻擊者也不會完全無法訪問它們。這是因為大多數供應商都提供基于云的管理平臺，允許設備所有者執行配置更改、固件更新、設備重啟、設備上的隧道流量等。

這些設備通常使用 MQTT 等機器對機器 (M2M) 協議與這些云管理服務進行通信，它們的實現可能存在弱點。Otorio 研究人員在三個供應商的云平臺中發現了嚴重漏洞，允許攻擊者在無需身份驗證的情況下遠程破壞任何云管理設備。

“通過針對單一供應商基于云的管理平臺，遠程攻擊者可能會暴露位于不同網絡和部門的數千臺設備，”研究人員說。“云管理平臺的攻擊面很廣。它包括利用 Web 應用程序（云用戶界面）、濫用 M2M 協議、薄弱的訪問控制策略或濫用薄弱的注冊過程。”

研究人員通過他們在 InHand Networks 的“設備管理器”云平臺及其 InRouter 設備的固件中發現的一系列三個漏洞來舉例說明這些風險，這些漏洞可能導致在所有云管理的 InRouter 設備上以 root 權限遠程執行代碼。

首先，他們研究了設備通過 MQTT 與平臺對話的方式以及實現身份驗證或“注冊”的方式，他們發現注冊使用的隨機值不夠充分，并且可能被強制執行。換句話說，其中兩個漏洞允許研究人員通過模擬經過身份驗證的連接并向路由器寫入任務（例如更改其主機名）來強制路由器提供其配置文件。

第三個漏洞是路由器通過 MQTT 解析配置文件的方式，特別是在用于解析名為 auto_ping 的功能參數的函數中。研究人員發現他們可以啟用 auto_ping，然后將反向 shell 命令行連接到 auto_ping_dst 函數，這將在設備上以 root 權限執行。

 對 OT 網絡的無線攻擊

除了互聯網上可用的遠程攻擊媒介之外，這些設備還在本地暴露 Wi-Fi 和蜂窩信號，因此可以利用這些技術對它們進行任何攻擊。“可以對 Wi-Fi 和蜂窩通信通道使用不同類型的本地攻擊，從對 WEP 等弱加密的攻擊和對易受攻擊的 GPRS 的降級攻擊開始，一直到可能需要時間修補的復雜芯片組漏洞，”研究人員說。

雖然研究人員沒有調查 Wi-Fi 或蜂窩基帶調制解調器漏洞，但他們使用 WiGLE 進行了偵察，WiGLE 是一種公共無線網絡映射服務，可收集全球無線接入點的信息。“利用高級過濾選項，我們編寫了一個 Python 腳本掃描潛在的高價值工業或關鍵基礎設施環境，突出顯示配置了弱加密的環境，”研究人員說。“我們的掃描發現了數千個與工業和關鍵基礎設施相關的無線設備，其中數百個配置了眾所周知的弱加密。”

使用這種技術，研究人員設法在現實世界中的制造廠、油田、變電站和水處理設施中找到部署了弱無線加密的設備。攻擊者可以使用這種偵察來識別薄弱的設備，然后前往現場利用它們。

 緩解無線物聯網設備漏洞

由于此類設備在 OT 網絡中的特權地位和對關鍵控制器的直接訪問權限，因此在發現此類設備中的漏洞時對其進行修補非常重要，因此應采取額外的預防措施來降低風險。Otorio 研究人員有以下建議：

禁用并避免任何不安全的加密（WEP、WAP），并且在可能的情況下，不允許使用 GPRS 等舊協議。

隱藏您的網絡名稱 (SSID)。

對連接的設備使用基于 MAC 的白名單，或使用證書。

驗證管理服務僅限于 LAN 接口或 IP 白名單。

確保沒有使用默認憑據。

警惕您設備的新安全更新。

確認這些服務在未使用時被禁用（在許多情況下默認啟用）。

單獨實施安全解決方案（VPN、防火墻），將來自 IIoT 的流量視為不受信任。

參考及來源：

https://www.csoonline.com/article/3687735/flaws-in-industrial-wireless-iot-solutions-can-give-attackers-deep-access-into-ot-networks.html#tk.rss_all