思科的安全情报和研究小组Talos称,他们报告了罗克韦尔自动化工业控制系统的一个严重漏洞Micrologix 1400可编程逻辑控制器(PLC)。
简单网络管理协议(Simple Network Management Protocol)可以让攻击者完全远程控制MicroLogix系统并修改设备固件,让入侵者在设备上运行自己的恶意代码。
罗克韦尔自动化
罗克韦尔自动化公司的MicroLogix系统
+更多关于网络世界足球竞猜app软件:2016年最怪异、最古怪、最酷的科技故事(到目前为止!)
MicroLogix 1400 plc用于从一般工业机械和加热/空调单元到SCADA(石油和天然气,水/废水,电力),到自动售货机和工业洗衣机和烘干机的各种应用。
思科的塔洛斯写道:“此漏洞是由于存在未记录的SNMP社区字符串,可以通过攻击者可以利用,以便完全控制受影响的设备并授予操作配置设置的能力,替换具有攻击者控制的代码在设备上运行的固件或以其他方式破坏设备操作。根据受影响的PLC在工业控制过程中的作用,这可能导致严重损害。
在最基本的层次上,对未记录社区字符串的了解允许攻击者读取通过SNMP可访问的所有值。除了读权限,“wheel”团体具有与“private”团体相同的写权限,可以修改所有可写的SNMP oid。虽然可以为运营商改变默认的SNMP社区影响设备上的字符串,这个字符串SNMP不记录供应商的可能性大大降低这个值被改变了plc的生产部署之前,大多数运营商甚至不太可能是意识到它的存在。
考虑到该问题的严重性,以及受影响设备上尚未删除该功能,建议采取缓解措施,以防止在生产环境中成功利用该漏洞。”
根据工业控制系统网络应急响应小组(ICS-CERT)发布在安全问题,罗克韦尔自动化建议使用Micrologix 1400的受影响版本的用户评估和部署下面列出的风险缓解策略。当可能时,应同时使用多种策略,帖子陈述。
- 利用产品的“RUN”键开关设置,以防止未经授权和不希望的固件更新操作和其他破坏性配置更改。
- 利用适当的网络基础设施控制,如防火墙,以帮助确保阻止来自未授权源的SNMP请求。看到KB496391d,以获取有关阻止访问SNMP服务的更多信息。
- 禁用此产品的SNMP服务。默认情况下启用SNMP服务。有关启用和禁用SNMP的详细说明,请参见Micrologix 1400产品手册中的第128页。
- 注意:需要重新启用SNMP来更新此产品上的固件。升级完成后,请再次关闭SNMP服务。
- 注意:更改SNMP团体字符串并不是有效的缓解方法。
- 尽量减少所有控制系统设备和/或系统的网络暴露,并确保它们不能从互联网访问。
- 定位防火墙后的控制系统网络和设备,并将其与业务网络隔离。
- 当需要远程访问时,使用安全的方法,如虚拟专用网络(vpn),认识到vpn可能有漏洞,并应更新到可用的最新版本。还要认识到,VPN的安全性取决于所连接的设备。
查看这些其他热门故事:
这个故事,“思科揭开了工业控制系统的安全威胁”最初发表于足球竞猜app软件 .