失陷的控制器網絡--OT網絡中的深度橫向移動

Forescout Technologies的Vedere實驗室當地時間2月13日推出了其關于深度橫向移動的重磅研究報告。報告首次系統披露了攻擊者如何在OT網絡的控制器級別(普渡模型的1級(L1))的不同網段和不同類型網絡之間橫向移動。研究者展示了攻擊者如何在連接的基本過程控制系統(BPCS)/安全儀表系統(SIS)體系結構中跨越安全邊界，或在PLC后面嵌套的現場總線網絡中對設備進行詳細操作，以繞過功能和安全限制。這些限制功能作為最后一道防線，用于禁止網絡物理攻擊產生最嚴重的后果。L1級由監控和向0級設備發送命令的系統組成，典型的示例包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)和智能電子設備(IED)等。

作為本研究開發的概念證明的一部分，研究人員使用了兩個Vedere實驗室首次公開披露的新漏洞:：CVE-2022-45788和CVE-2022-45789，分別允許在施耐德電氣Modicon PLC上遠程代碼執行和身份驗證繞過。這兩個漏洞的發現是此前OT: 2022的Icefall研究成果的一部分，但在供應商的要求下，當時沒有披露。

在過去的幾年中，安全研究人員已經演示了各種方法來獲得來自不同供應商的L1設備上的低級遠程代碼執行(RCE)。像TRITON和INCONTROLLER這樣的惡意軟件已經表明，現實世界的威脅行為者既有能力也有興趣開發這種能力。然而，當涉及到L1設備的后續利用時，先前的工作主要集中在隱身性、持久性和演示后果和影響上，而橫向移動很少受到關注。過去橫向移動的重點是在同一網段的L1設備之間移動或在級別2及以上向上移動到SCADA系統，但沒有考慮在L1更深地移動到嵌套設備網絡或跨邊界。

因此研究人員認為，資產所有者經常忽略第1級的安全邊界，并認為繞過控制器和現場設備強制執行的功能和安全限制是不可行的，即讓限制或約束條件失效所需要的細粒度控制，攻擊者是達不到的。盡管L1設備位于多個混合網絡的交匯處，應該被視為安全邊界，并且應該具有與處于類似位置的工作站相同的相應強化措施和風險配置。

圖1：普渡企業參考架構-引自ANSI/ISA-62443-2-1

深度橫向移動使攻擊者能夠深入訪問工業控制系統(ICS)，并跨越經常被忽視的安全邊界，使他們能夠執行細粒度和隱秘的操作，并超越功能和安全限制。Forescout重點研究了造成L1級深度橫向運動的兩個主要原因——邊界交叉和細粒度控制。將這種橫向移動納入攻擊者視線的主要原因是需要重新評估邊界。

首先，研究人員關注交叉邊界的問題。希望引起人們對一階連通性分析的常見謬誤的注意，其中風險評估只考慮對直接可達系統或組件的影響。其次，希望同樣地引起人們注意這樣一個事實，即許多OT系統架構師和集成商，以及一些供應商和監管指南，繼續根據本地可路由性評估鏈路安全性，并確定地呈現功能，因此想當然地認為某些鏈路(串行、點對點、不可路由)比實際更健壯。

報告指出，攻擊者可能需要在級別1的加固或未經確認的邊界周圍移動，以跨越不同的網段，研究人員給出了級別1的區域跨界的一個例子，即BPCS和SIS之間的交互。另一個通常被低估的OT網絡中L1邊界是連接到由現場總線耦合器調節的第三方控制系統(如PU或跨公用設施接口)。

圖2：處于多個網絡交叉點的L1級設備（引自Vedere實驗室研究報告）

研究人員還評估說，這些設備越來越智能，具有復雜的協議轉換能力和帶內固件更新。在現實世界中遇到過幾個案例，資產所有者基于現場總線耦合器的‘愚蠢’性質的假設設計了安全架構，結果證明這實際上是一個‘智能’設備，具有比預期更大的攻擊面和橫向移動的潛力。

在細粒度控制措施方面，Forescout的研究人員透露，攻擊者可能希望深入到L1級系統，因為他們需要對嵌套設備進行非常細粒度的控制，或者繞過功能和安全約束。

Vedere實驗室評估稱，攻擊者若要實現更具破壞性的場景，將需要在太陽能逆變器（solar inverter）或UPS主模塊的負責數字信號處理器(DSP)上獲取代碼執行能力。為了獲得這種訪問權限，攻擊者首先需要橫向移動通過通信模塊，也可能通過主模塊的應用程序處理器(AP)。這種深度橫向移動對評估個體脆弱性的潛在影響具有重要意義。

Forescout透露，作為最近針對OT的黑客攻擊浪潮的一部分，GhostSec組織攻擊了尼加拉瓜ISP UFINET的一個暴露的M340控制器，將值0寫入其所有的Modbus寄存器。新發現的漏洞，只影響Modicon PLC Unity系列。CVE-2022-45788是通過未記錄的內存寫操作進行RCE的一個例子。此外，雖然施耐德電氣將CVE-2022-45788描述為與下載惡意項目文件有關，但此漏洞實際上運行在完全不同的(未記錄的)功能集上，允許修改內部PLC內存，而不影響PLC運行狀態或需要項目下載。

圖3：嵌套系統的示例體系結構（引自Vedere實驗室研究報告）

Forescout表示，Modicon PLC在世界各地非常流行和廣泛使用。根據公共數據估計受影響設備的數量是困難的，因為這些設備不應該通過互聯網訪問。然而，Forescout仍然能夠看到近1000個PLC通過Shodan在線暴露，主要是電力行業(44%)，其次是制造業(19%)和農業(15%)。他們還發現了多個公共子網實例，可能由系統集成商或承包商使用，暴露了用于不同發電項目的Modicon PLC。

為了證明深度橫向移動的可行性，Vedere實驗室針對幾個流行的PLC(施耐德電氣Modicon M350、Allen-Bradley GuardLogix和WAGO 750系列)組成的嵌套設備設置開發了一個概念驗證利用鏈。該設置旨在禁止直接或路由訪問關鍵控制器和安全系統，展示了高能力對手可能采用的技術來規避此類限制。

報告稱:“我們構建的場景表明，攻擊者試圖控制可移動橋梁基礎設施，意圖實施網絡物理攻擊，以全速關閉橋梁，安全系統被禁用，要么用鎖桿驅動撞擊軸承，要么在全速觸發緊急停車，造成巨大的慣性力損壞橋梁。”“這種情況通常很難，甚至不可能通過中央SCADA接口進行簡單控制。”

Vedere實驗室發現，將某些鏈路(如串行、點對點、射頻和耦合器)視為“如果它們對我們在常規以太網LAN網絡上看到的許多相同問題免疫，則需要進行嚴格的重新評估。”設備受損的影響不僅限于鏈路的顯式功能或其一級連接性。“僅僅因為它只暴露了幾個Modbus寄存器，或者連接到一個無趣的設備上，并不意味著攻擊者不能把這個鏈接變成其他東西，并把這個無趣的設備作為一個過渡點或支撐點，向更有趣（有價值）的目標移動。”

報告披露稱:“隨著攻擊者通過深度橫向移動實現訪問，可能會放大攻擊的影響。”“降低深度橫向移動的風險需要仔細監控混合網絡，以盡早發現對手，在普渡模型較低的級別上監測經常被忽視的安全邊界，并加固互連和暴露的設備。”

Vedere實驗室表示，要評估協議棧漏洞的潛在風險，應該考慮到這種深度橫向移動的容易程度。例如，考慮CIP解析器中的漏洞。如果漏洞只能用于導致拒絕服務，那么在哪里進行解析非常重要。畢竟，以太網模塊上的DoS和CPU模塊上的DoS之間的區別就是失去通信和失去保護或控制之間的區別。但是，如果該漏洞可以用來實現代碼執行，那么即使解析發生在通信模塊上，仍然存在失去保護或控制的風險，因為攻擊者有可能將該模塊用作CPU模塊的樞紐。

該研究提供了通過禁用設備上未使用的業務來加固L1設備和網絡的緩解策略。例如，如果PLC上不需要UMAS over Ethernet，請禁用它。即使PLC是嵌套的，因為報告中展示了攻擊者如何利用嵌套設備上的漏洞實施攻擊。

Vedere實驗室還建議使用深度包檢測(DPI)防火墻和基于IP的訪問控制列表來限制工程工作站和PLC之間的敏感流量。在只需要協議子集的情況下，可以使用DPI來進一步限制。從取證的角度來看，攝取包含此類惡意活動指示器的1級事件日志，并通過OT-DPI防火墻和/或一致性檢查網關(包括點到點鏈接)強制隔離。

該報告補充說，根據風險的不同，某些跨越高度敏感網段的點對點鏈路可能需要以太網專用的插入式DPI防火墻。“對于具有相似配置文件的串行鏈路，可能需要考慮在帶外收集數據的內聯分路器(inline taps)。”

2022年6月，Vedere實驗室還詳細介紹了一種新的攻擊方法，稱為物聯網勒索軟件(Ransomware for IoT)或R4IoT。概念證明涵蓋了下一代勒索軟件，這些勒索軟件利用物聯網設備進行初始訪問，以IT設備為目標部署勒索軟件和加密貨幣，并利用糟糕的OT安全實踐對業務運營造成物理中斷。通過損害物聯網、IT和OT資產，R4IoT超越了通常的加密和數據泄露，導致業務運營的物理中斷。