一. SCADA/ICS概述
SCADA或工業控制系統(ICS)是網路攻擊/防禦組織非常關注的問題。這些系統特別容易受到攻擊,原因有很多,包括但不限於——目前許多SCADA / ICS組織一直依靠保密或者網路物理隔離來保證安全。這些工業控制系統對任何國家的基礎設施以及經濟都至關重要,但隨著數字化、資訊化的程式,也有越來越多的安全隱患暴露出來。
根據國家工業資訊保安漏洞庫(CICSVD)提供的資料,2019年至2021年1月20日上報的與SCADA系統有關的漏洞190條,其中超危46條,高危75條,中危61條,低危8條。
國家資訊保安漏洞共享平臺(CNVD)的資料,2008年至2021年1月20日上報的與SCADA有關的漏洞226條,其中高危90條,中危117條,低危19條。
二. SCADA/ICS的資訊蒐集
就像傳統網路中的駭客攻擊一樣,入侵前需要先進行偵察和資訊蒐集。下面介紹常用的一些方法:Shodan,Google hacking,Nmap來查詢SCADA / ICS資產。
SCADA/ICS中使用了多種通訊協議,與乙太網或Internet協議(IP)不同,工業控制行業採用的協議通常是可程式設計邏輯控制器(PLC)製造商所獨有的。下面列舉一些比較流行的通訊協議:
當前網路空間測繪系統(國外的shodan和censys,國內的fofa和zoomeye)發展的非常快,可以利用這些系統做根據上述的協議資訊做初步的資訊蒐集。
01
Shodan
搜尋埠為502的資產。根據指紋資訊可以看到帶有較為明顯的Modbus協議特徵。
進一步的搜尋可以發現其中一個是Dimplex公司的一款裝置的頁面。
也可以直接搜尋PLC名稱,例如:“Schneider Electric”
02
Google Haking
使用語法inurl:/Portal/Portal.mws l,結果如下所示:
可以直接得到西門子PLC的web管理介面,這種暴露在網際網路上的資產是非常危險的。
03
Nmap
上面的兩種方法是採用的被動的方式進行偵察,我們還可以使用nmap工具來進行更主動的資訊蒐集。Nmap內建了600多個指令碼,其中工控相關的有10來個,包括bacnet-info、enip-info、fox-info、modbus-discover、s7-info等等,可以針對工業資產進行初步的探測。
下圖是掃描的一個內網施耐德PLC的資訊:
三. SCADA/ICS入侵
開啟shodan,搜尋"Schneider Electric" automation。
根據Karn Ganeshen在2016年研究文章的內容,在施耐德電氣樓宇運營自動化伺服器1.6.1.5000版本中存在命令執行漏洞,CVE編號為CVE-2016-2278。
該漏洞導致使用admin/admin可以直接ssh登入到後臺:
四. 總結
大多數工業企業的SCADA/ICS安全防護仍處於起步階段,主要依靠模糊性來確保安全性。經過簡單的資訊蒐集、探測後,就可以將這些系統從隱蔽的地方變得易於被地球上任何人看到。即使是隻具備基本技能的駭客也可以找到這些系統,如果他們是惡意的,則可以訪問這些控制系統並造成嚴重破壞。
參考連結:
https://cxsecurity.com/issue/WLB-2016030030