【技術向】初識SCADA安全風險

一.  SCADA/ICS概述

SCADA或工業控制系統（ICS）是網路攻擊/防禦組織非常關注的問題。這些系統特別容易受到攻擊，原因有很多，包括但不限於——目前許多SCADA / ICS組織一直依靠保密或者網路物理隔離來保證安全。這些工業控制系統對任何國家的基礎設施以及經濟都至關重要，但隨著數字化、資訊化的程式，也有越來越多的安全隱患暴露出來。

根據國家工業資訊保安漏洞庫（CICSVD）提供的資料，2019年至2021年1月20日上報的與SCADA系統有關的漏洞190條，其中超危46條，高危75條，中危61條，低危8條。

國家資訊保安漏洞共享平臺（CNVD）的資料，2008年至2021年1月20日上報的與SCADA有關的漏洞226條，其中高危90條，中危117條，低危19條。

二.  SCADA/ICS的資訊蒐集

就像傳統網路中的駭客攻擊一樣，入侵前需要先進行偵察和資訊蒐集。下面介紹常用的一些方法：Shodan，Google hacking，Nmap來查詢SCADA / ICS資產。

SCADA/ICS中使用了多種通訊協議，與乙太網或Internet協議（IP）不同，工業控制行業採用的協議通常是可程式設計邏輯控制器（PLC）製造商所獨有的。下面列舉一些比較流行的通訊協議：

當前網路空間測繪系統（國外的shodan和censys，國內的fofa和zoomeye）發展的非常快，可以利用這些系統做根據上述的協議資訊做初步的資訊蒐集。

01

Shodan

搜尋埠為502的資產。根據指紋資訊可以看到帶有較為明顯的Modbus協議特徵。

進一步的搜尋可以發現其中一個是Dimplex公司的一款裝置的頁面。

也可以直接搜尋PLC名稱，例如：“Schneider Electric”

02

Google Haking

使用語法inurl：/Portal/Portal.mws l，結果如下所示：

可以直接得到西門子PLC的web管理介面，這種暴露在網際網路上的資產是非常危險的。

03

Nmap

上面的兩種方法是採用的被動的方式進行偵察，我們還可以使用nmap工具來進行更主動的資訊蒐集。Nmap內建了600多個指令碼，其中工控相關的有10來個，包括bacnet-info、enip-info、fox-info、modbus-discover、s7-info等等，可以針對工業資產進行初步的探測。

下圖是掃描的一個內網施耐德PLC的資訊：

三.  SCADA/ICS入侵

開啟shodan，搜尋"Schneider Electric" automation。

根據Karn Ganeshen在2016年研究文章的內容，在施耐德電氣樓宇運營自動化伺服器1.6.1.5000版本中存在命令執行漏洞，CVE編號為CVE-2016-2278。

該漏洞導致使用admin/admin可以直接ssh登入到後臺：

四.  總結

大多數工業企業的SCADA/ICS安全防護仍處於起步階段，主要依靠模糊性來確保安全性。經過簡單的資訊蒐集、探測後，就可以將這些系統從隱蔽的地方變得易於被地球上任何人看到。即使是隻具備基本技能的駭客也可以找到這些系統，如果他們是惡意的，則可以訪問這些控制系統並造成嚴重破壞。

參考連結：

https://cxsecurity.com/issue/WLB-2016030030