工業網絡安全公司Claroty的研究人員發現,工業巨頭霍尼韋爾的Experion過程知識系統(PKS)受到三個漏洞的影響,具體產品型號為C200、C200E、C300和ACE控制器。其中CVE-2021-38395和CVE-2021-38397被評定為嚴重級別,CVSS評分分別為9.1和7.5,可以允許攻擊者遠程執行系統上的任意代碼或導致拒絕服務(DoS)條件。第三個漏洞被跟蹤為CVE-2021-38399,被列為高度嚴重,CVSS評分為10,是一個路徑遍歷漏洞,攻擊者可以訪問文件和文件夾。DCS設備因其價格昂貴難以獲得,相關安全研究的環境條件不容易滿足,因此DCS漏洞的披露通常相對較少。
霍尼韋爾(Honeywell)在今年2月發布了一份針對這些漏洞的安全建議,并告知客戶計劃在今年發布補丁。但是,受影響產品的某些版本將不會收到修復程序。
在10月5日發表的一篇博客文章中,Claroty詳細介紹了其Team82研究人員發現的漏洞,以及它們在現實世界環境中的潛在影響。
分布式控制系統(DCS)是設計用于控制大型工業流程的復雜系統,由多個控制器、I/O設備和人機界面(HMIs)組成。這些系統通常用于需要高可用性和連續操作的大型工廠。霍尼韋爾Experion過程知識系統(PKS)是在全球和不同行業廣泛采用的DCS系統。這個巨大的自動化平臺集成了來自整個環境的控制器的數據,提供了整個工廠范圍內流程的集中視圖。該系統主要使用C200、C300和ACE控制器,可以通過Honeywell的工程工作站軟件Experion PKS Configuration Studio進行編程。邏輯(開發為框圖)可以從工程工作站下載到DCS中的不同組件。
“以Experion PKS為例,Team82發現可以模擬下載代碼過程,并使用這些請求來上傳任意DLL/ELF文件(分別用于模擬器和控制器)。然后該設備加載可執行文件而不執行檢查或消毒,使攻擊者能夠上傳可執行文件,并在無需身份驗證的情況下遠程運行未授權的本機代碼。”Claroty解釋道。
攻擊者可以利用這些漏洞造成重大中斷或濫用DCS對目標組織的網絡進行進一步攻擊。然而,Claroty指出,攻擊者為了利用漏洞而需要訪問的端口通常不會暴露在互聯網上。在利用漏洞之前,攻擊者需要找到一種方法來訪問目標組織的OT網絡。
漏洞產生的根源在控制組件庫CCL (Control Component Library)。CCL是加載到控制器上執行特定功能的標準庫。可以將CCL庫看作是一種擴展,它使開發人員能夠使用標準庫不支持的外部功能塊來使用特定于應用程序的功能。
CCL格式是DLL/ELF文件的包裝器(wrapper)。它的前四個字節是可執行文件(DLL/ELF)的CRC32。接下來的128字節表示庫的名稱(用空值包裝),文件的其余部分是實際封裝的DLL/ELF文件。封裝的DLL/ELF文件是塊代碼庫,在Control Builder軟件中使用。當CCL文件被解析時,沒有安全驗證,例如簽名檢查或庫名的衛生處理。因此,攻擊者可以執行目錄遍歷攻擊,并將他們希望的任何DLL/ELF文件上傳到遠程控制器上的任意位置。
此外,在Claroty的研究現,在某些情況下發送到終端設備的CCL文件會立即執行,而不需要執行安全檢查(如簽名檢查)。該協議不需要身份驗證,這將阻止未授權用戶執行下載操作。因此,任何攻擊者都可能使用這個庫下載功能來遠程執行代碼,而無需身份驗證。為此,攻擊者可以使用該協議將其選擇的DLL/ELF下載到控制器/模擬器,并立即在終端設備上執行。
分布式控制系統通常被網絡安全研究人員視為黑盒子。由于設備昂貴難以獲得,因此泄漏的DCS漏洞相對較少。像許多其他類型的工業設備一樣,它不容易在網上購買,而且它的購買和配置可能成本非常之高。這種情況在工業控制系統和SCADA設備中經常發生,這對新近活躍的ICS安全研究人員來說是一個重大的障礙,他們更有可能檢查來自市場領先供應商的商用設備。
今年早些時候,霍尼韋爾通過一系列更新和補丁解決了這些漏洞。所有在其環境中使用受影響控制器的Experion PKS客戶,無論他們是否使用ccl,都將受到影響。已經在網絡上的攻擊者可以通過將帶有惡意代碼的修改CCL加載到將執行攻擊者代碼的控制器中來影響進程。
霍尼韋爾對這些關鍵漏洞的反應比較迅速。為了解決Team82私下披露的缺陷,霍尼韋爾已經向CCL添加了加密簽名,以確保它們沒有被篡改。現在,每個CCL二進制文件都有一個相關的加密簽名,當CCL加載時發送給控制器;霍尼韋爾在其咨詢報告中說,在使用CCL之前,該簽名是經過驗證的。
霍尼韋爾已經為受影響的Experion PKS版本提供了補丁,包括服務器軟件補丁和控制器固件的修復。為了完全減輕這些漏洞,必須應用這兩種方法。
R510.2 (Hotfix10,已發布)和R501.6版本的修補程序已經發布或將發布。版本R511.5還解決了所有這些漏洞。其他的Experion版本沒有補丁可用,敦促這些用戶遷移到最新的版本。
美國網絡安全和基礎設施安全局(CISA)當地時間10月5日也發布了一份咨詢建議和一個通知,警示各組織這些漏洞構成的威脅。
