關鍵基礎設施設備滿是缺陷　哪怕經過安全認證

安全研究人員發現，關鍵基礎設施中所用的設備滿是漏洞，可導致拒絕服務、配置篡改和遠程代碼執行。

而且，大多數此類運營技術（OT）產品（包括工業控制系統及相關設備）都號稱經過了安全認證，但其中一些實際上并沒有。

在一篇題為《關鍵基礎設施設計不安全》的預印本論文中，Forescout安全研究員Jos Wetzels和Daniel dos Santos，以及德國克勞斯塔爾工業大學安全IT系統教授Mohammad Ghafari，在工業技術制造商的產品中發現了53個通用漏洞與暴露（CVE），其中一些是微小漏洞，另一些則是嚴重漏洞。

這些缺陷源自基本安全設計失敗，其中一些可能會導致嚴重后果。

研究人員審查了來自十家不同主流供應商的45條OT產品線，產品應用范圍涵蓋政府、醫療保健、供水、石油和天然氣、發電、制造業、零售業及其他行業。通過對產品進行逆向工程，研究人員發現了未經驗證的協議和弱密碼等不良做法。

這些產品的供應商包括：本特利內華達、艾默生、霍尼韋爾、JTEKT、摩托羅拉、歐姆龍、菲尼克斯、西門子、橫河和施耐德電氣。

論文計劃在5月份的IEEE/ACM安全物聯網研討會上發表，三位作者在論文中表示：“我們發現，每個產品中都至少存在一個微小漏洞。我們總共報告了53個缺陷，包括幾個嚴重漏洞，可導致拒絕服務、配置篡改和遠程代碼執行等后果。”

超過三分之一（21個）的CVE可助力黑客進行憑證盜竊。另有18個CVE涉及數據篡改，其中13個可導致固件篡改。還有10個CVE提供了遠程代碼執行途徑。

實現遠程代碼執行的方法之一就是通過固件篡改。

三位作者表示：“我們檢查的設備中只有51%設置有某種形式的固件更新驗證機制，即便某些情況下是硬編碼憑證的形式。78%的設備沒有實現加密固件簽名。”

研究人員解釋道，涉及到的大多數軟件組件（84%）都是用C++編寫的，這種編程語言通常比C或.NET更為繁復；而且，盡管通常采用專有文件格式，固件卻依賴C和C++混雜的代碼，沒有加密或混淆處理。

涉及到的硬件架構包括：Arm（31%）、x86（26%）、PowerPC（24%）、SuperH（12%）和其他（7%）。固件架構包括：VxWorks（22%）、QNX（14%）、Linux（13%）、WinCE（9%）、OS-9（4%）、ITRON/TKERNEL（4%），另有11%使用自定義操作系統，23%使用其他操作系統。

三位作者指出，自己遵循了負責任披露的慣例，但一些制造商對調查結果表示了異議。五起異議案例中，研究人員接受了供應商的回復，撤銷或緩和了披露，或者調整了披露的時機。而在至少十起異議案例中，研究人員與供應商各執己見無法達成一致，導致一些公共CVE沒有供應商參與。

通過開源查詢（例如使用Shodan搜索引擎），三位作者確定，有大量潛在脆弱系統暴露在互聯網上。

意大利的暴露設備數量位居榜首（1255臺），其次是德國（440臺）、西班牙（393臺）、法國（376臺），瑞士（263臺）和美國（178臺）。

以通過了工控系統安全標準IEC 62443認證但不合格的產品為例，研究人員在論文中表示：“令人擔憂的是，這些產品中很多都經過了認證，但存在本應在認證過程中發現的漏洞。這表明，除了標準可能沒有涵蓋的內容，即使標準確實涵蓋的內容，實際操作中也未必總能面面俱到。”

拜登政府在最近發布的《國家網絡安全戰略》中納入了保護關鍵基礎設施的必要性。這一目標顯然仍在努力達成的路上。

研究人員表示：“我們得出的結論是，盡管十年來一直在努力改善OT安全，但即使是經過安全認證的產品，OT設備仍然存在設計不安全的問題。”