博客

楼宇自动化系统漏洞的发现与防范(BAS)

丹尼尔·多斯桑托斯 , 欧博allbet网址技术公司研究员. | 2019年1月16日

众所周知,网络安全是一场持续不断的猫鼠游戏, 进攻者和防守者都在不断进化. 虽然我们大部分时间都在防守端, 我们的研究活动包括像攻击者一样思考,以更好地保护我们客户的网络. 这不仅有助于理解和击败当前的战术, 真实世界中恶意行为者使用的技术和过程(TTPs), 但也能预测未来的威胁.

最近, 欧博allbet网址的OT研究团队对BAS网络中常用的设备进行了漏洞和恶意软件研究. 我们的目标是创建一个概念验证的恶意软件,目标是建设自动化网络,以提高人们对这个问题的认识,我们认为这个问题在未来几年将变得越来越严重. 不过我们还没见过专门为智能建筑设计的恶意软件, 针对工业控制系统(ICS)的恶意软件在过去十年中出现了巨大增长, e.g., Industroyer海卫一和最近的 GreyEnergy). 这些攻击可能是毁灭性的, 我们相信恶意软件攻击智能建筑是不可避免的下一步.

我们的研究工作的主要结果报告在a 白皮书 并在最近的S4x19会议上展示. 这些结果包括:

  • 楼宇自动化系统和网络的安全前景分析
  • 发现并负责披露楼宇自动化设备中以前未知的漏洞
  • 开发一种概念验证型恶意软件,可在自动化级别的设备上持续存在
  • 讨论如何通过及时检测威胁来帮助保护建筑自动化系统

白皮书中描述的恶意软件使用了我们团队发现的两个新漏洞(e.g.、缓冲区溢出、硬编码秘密和严重的设备错误配置)和 最近被其他人发现的漏洞. 在白皮书中, 我们强调了由于将物联网设备引入建筑自动化网络而增加的攻击面, 可以被恶意软件用来破坏此类网络的详细攻击场景, 并概述了此类攻击在许多设施的两个关键子系统中的后果:

  • HVAC -改变温度设定值或损坏用于加热的设备, 通风, 空调(HVAC)可以使大公司用来存储和处理敏感数据(如财务信息)的数据中心脱机, 在这些设备至关重要的地方也会对人造成伤害, 比如隧道和矿井
  • 物理访问控制——这些系统用于允许或拒绝进入建筑中的某些区域,如办公室空间, 但也在关键设施,如机场和医院. 能够进入这些建筑物的自动化网络的攻击者可以控制大门,以进入禁区或拒绝其他授权人员的进入.

在这篇文章中, 我们想要突出一些在恶意软件的研究和开发中发现的漏洞,并将这些漏洞分为两组:

  1. 恶意软件中使用的两个严重漏洞
  2. 影响其他供应商的5个漏洞没有在最后的攻击中使用,因为它们超出了我们实现的攻击路径的范围,而且它们中的大多数在BAS上下文中的严重程度较低

1. 高严重漏洞

这些漏洞允许远程攻击者在目标设备(一个普通的访问控制PLC)上执行任意代码,并获得对其的完全控制. 当我们与供应商联系这些问题时, 他们告诉我们,这些问题已经被发现并得到了修补, 但它们从未被公开披露. 因此, 我们将保持供应商和受影响的设备的匿名, 但请给出一些关于漏洞的细节:

  • 硬编码的秘密 – 我们发现了一个使用硬编码秘密来存储用户密码的加密函数. 这个弱点允许攻击者获取设备的有效用户的证书.
  • 缓冲区溢出 – 我们发现一个缓冲区溢出导致在PLC上执行远程代码, 这让攻击者可以完全控制设备.

即使这两个问题在适当的意义上不是0天(因为供应商知道它们,并且有针对它们的补丁), 它们会影响Access Control PLC中使用的旧版本框架(我们测试的版本是从2013年6月开始的), 至少有一个原因,它们仍然非常严重, ICS常见的是什么, 物联网, 和BAS设备:大量可用的在线设备(可能还有更多未直接暴露的)仍然可以被利用,因为它们没有打补丁(见本文的结论).

有关这些漏洞的更多详细信息,请参见 白皮书.

2. 较低的严重漏洞

这些漏洞会影响运行在两台BAS设备上的web服务,并用于在内部网络中甚至远程管理这些服务. 它们都是由于输出的不适当的卫生处理造成的.g., 跨站点脚本(XSS),或对用户输入的数据进行不适当的验证.g., 路径遍历 和 认证绕过.

我们团队发现的漏洞总结在下表中. 每个发现的漏洞都会报告给负责的供应商,然后进行修补, 如 笔记 列.

CVE

漏洞类型

笔记

cve - 2018 - 14919

XSS

在固件版本6中打了补丁.4.2

cve - 2018 - 14918

路径遍历

在固件版本6中打了补丁.4.2

cve - 2018 - 14916

任意的文件删除

在固件版本6中打了补丁.4.2

cve - 2018 - 15820

XSS

应用程序版本2补丁.0.5.27

cve - 2018 - 15819

认证绕过

应用程序版本2补丁.0.5.27

XSS漏洞(cve - 2018 - 14919cve - 2018 - 15820)让攻击者将恶意脚本注入运行在易受攻击设备上的可信web界面, 这可能是由一个不知情的设备管理员的浏览器执行访问cookie, 会话令牌, 或其他敏感信息, 或者代表用户执行恶意操作. 除了获取敏感信息, XSS攻击可用于内部网络发现和流量隧道,使用工具如 牛肉存储 XSS允许攻击者在应用程序中存储恶意脚本, 可能对访问应用程序的每个用户执行它. 反映了 XSS, 另一方面, 允许攻击者向目标用户发送包含恶意脚本的非持久请求.

路径遍历和文件删除漏洞(cve - 2018 - 14918 和 cve - 2018 - 14916)允许攻击者操纵路径引用,并访问或删除存储在设备上运行的web应用程序根文件夹之外的文件和目录(包括关键系统文件). 这可以用来读取或删除包含用户名和密码等信息的系统和配置文件.

身份验证绕过漏洞(cve - 2018 - 15819)允许攻击者在不拥有有效凭据的情况下在脆弱的应用程序中执行特权请求, 通过操作在请求中发送的会话标识符. 任何与有效标识符大小相同的字符串都被接受. 在这个特定的例子中, 攻击者甚至可以窃取应用程序用户的凭证信息, 包括明文密码.

结论

除了这里报告的漏洞, 我们还发现一个用于管理楼宇自动化设备的二手工作站存在严重的配置错误, 它允许我们获得远程代码执行,并最终在运行的操作系统上获得管理员权限. 在这种情况下,供应商声称这些问题是由集成商引入的.

这些弱点的事实, 哪些很容易找到和修复,但也很容易利用, 仍然存在于可能用于关键建筑的设备中是值得警惕的吗.

另一个令人担忧的事实是,这些易受攻击的设备可以通过公共可达的网络地址,通过搜索引擎(如 Shodan 和 Censys. 使用这些搜索引擎, 我们发现了低严重漏洞表中提到的两种设备(或来自同一制造商的类似设备)的279个实例, 使用相同的易受攻击的软件), 其中214人(76%)有潜在的脆弱性. 我们还发现了21个,621个设备实例,如PLC中提到的访问控制的高度严重性问题, 其中7980(37%)有潜在的脆弱性. 不幸的是, 根据搜索引擎捕捉到的横幅上显示的信息,许多这样的设备似乎位于医院和学校.

这项研究的结果 强调需要通过高效的网络安全监控解决方案,使楼宇自动化系统更具网络弹性, 如SilentDefense.

如果您想了解更多关于网络监控对BAS的重要性, 看我们的视频 or 安排一个咨询 和一个网络恢复专家一起.

下载《BAS报告》