從大樓管理到損害控制:以Delta的enteliBUS Manager為特色的工業安全案例研究 管理。控制。看起來你不能把五個人放在一個房間裡,而沒有一個人試圖指使周圍的其他人。然而,這種集中權威的傾向並非沒有理由 - 讓一個人或事物做主,通常會更有效率。對於後者的一個例子,人們只需要看看Delta的enteliBUS Manager或eBMGR。簡而言之,該設備旨在集中控制企業或工業環境中常見的各種硬體,無論是機房的溫度和濕度控制,鍋爐及其相應的工廠報警和傳感器,還是訪問控制和在商業中的照明。優點似乎很明顯, 當人們考慮精通技術的惡意行為者時,這些缺點雖然不那麼明顯,但卻變得清晰起來。突然之間,您的潛在關鍵系統現在只有一個故障點,而且一個連接到網路的系統會讓事情變得更糟。 考慮一下醫院裡的正壓室,通常用於在手術期間防止污染物。管理這些房間是eBMGR的一個典型應用程序,如果它們破壞了這樣一個敏感的環境,它就不會想像一個不良行為者會造成什麼樣的傷害。 管理。控制。如果像這樣的設備沒有得到妥善保護,那就是最重要的。這也是邁克菲高級威脅研究團隊將此設備作為高優先級的原因。制定像這樣的網路連接關鍵系統的決定需要極高的軟體安全標準 - 找到它可能不足的地方正是我們的工作。 考慮到這些風險,我們的團隊開始工作。我們首先將eBMGR單元連接到具有多個其他設備的網路,以模擬一種真實生活的環境。使用一種稱為“模糊測試”的技術,然後我們用各種故意格式錯誤的網路流量轟炸設備,尋找其中的縫隙。這是軟體安全中經常給壞人帶來的一個好處; 他們可以犯很多錯誤; 製造商只需要製造一個。 也許不出所料,持久性和創造性使我們發現了一個這樣的錯誤:用於處理傳入網路數據的內存大小不匹配,這通常被稱為緩衝區溢出漏洞。這個看似無害的錯誤使eBMGR容易受到我們精心設計的網路攻擊,這使得同一網路上的駭客可以完全控制設備的操作系統。更糟糕的是,攻擊使用所謂的廣播流量,這意味著他們可以在不知道網路上目標位置的情況下發起攻擊。結果是Marco Polo的扭曲版本 - 駭客只需要喊“Marco !”進入黑暗,並等待毫無戒心的目標喊“ Polo!”作為回應。 在該領域中,操作系統的完全控制通常是終點線。但我們並不滿足於此。畢竟,控制eBMGR本身並不是那麼有趣; 我們想知道是否可以用它來控制它連接的所有設備。不幸的是,我們沒有設備軟體的原始碼,所以這個新目標被證明是非平凡的。 我們回到繪圖板並獲得了一些額外的硬體,Delta設備可能實際上負責管理,並且有一個經過認證的技術人員對設備進行編程,就像他對現實世界的客戶一樣 - 在我們的例子中,作為HVAC控制器。我們的戰略很快就變成了通常所說的重播攻擊。例如,如果我們想確定如何告訴設備翻轉開關,我們首先會觀察設備以“正常”方式翻轉開關,並嘗試跟踪必須運行的代碼。接下來,我們將嘗試通過手動運行該代碼來重新創建這些條件,從而重放先前觀察到的事件。事實證明,這種策略有效地使我們能夠控制eBMGR支持的每一類設備。此外,該方法對於連接到建築物管理者的特定硬體仍然是不可知的。假設,這種攻擊可以在沒有任何設備配置的先驗知識的情況下工作。 結果是攻擊會破壞同一網路上的任何enteliBUS Manager,並將我們開發的自定義惡意軟體附加到其上運行的軟體上。然後,這個惡意軟體將創建一個後門,允許攻擊者遠程向管理器發出命令並控制與其連接的任何硬體,無論是像燈開關那樣良性還是像鍋爐一樣危險。 更糟糕的是,如果攻擊者提前知道設備的IP地址,則可以通過Internet執行此漏洞利用,從而以指數方式增加其影響。在撰寫本文時,一個Shodan掃描顯示,超過1600個這樣的設備是互聯網連接的,這意味著危險遠非假設。 對於那些渴望的,我們如何著手實現這一基本事實的技術細節,我們也發布一個中篇文章這裡 是深入到該漏洞的發現和開發過程從開始到結束。 與我們負責任的披露計劃保持一致一旦我們確認我們發現的最初漏洞是可利用的,我們就會聯繫Delta Controls。此後不久,他們為我們提供了一個測試版本的修補程序,旨在修復漏洞,我們確認它就是這樣 - 我們的攻擊不再有效。此外,通過了解我們如何在網路級別執行攻擊,我們能夠通過NSP簽名0x45d43f00將此漏洞的緩解添加到McAfee的網路安全平台(NSP),從而幫助我們的客戶保持安全。這是我們對成功故事的想法 - 研究人員和供應商聚集在一起,以提高最終用戶的安全性,並最終減少對手的攻擊面。如果有任何疑問他們對這些目標感興趣,那麼快速搜索就會有所啟發無數嘗試將工業控制系統作為最重要的目標。 在我們給你留下“一切順利”之前,我們要強調的是,這裡有一個值得學習的教訓:使關鍵系統變得脆弱並不需要太多。因此,公司必須將適當的安全實踐擴展到所有聯網設備 - 而不僅僅是PC。這種做法可能包括將所有連接互聯網的設備置於防火牆後面,監控這些設備的流量,使用VLAN將它們與網絡的其餘部分隔離,並保持安全更新。對於無法承受大量停機時間的關鍵系統,通常會更新而不是推送更新,從而使最終用戶有責任使這些設備保持最新狀態。無論具體實施方式如何,良好的安全策略通常始於採用最小特權原則或者除非有令人信服的理由,否則默認情況下應限制所有訪問權限。例如,在接近將像eBMGR這樣的設備保持在互聯網上的挑戰之前,首先要問首先是否需要將其連接到互聯網是非常重要的。 雖然公司和消費者當然應該採取適當的措施來保證網路的安全,但製造商還必須採取積極主動的方法來解決影響最終用戶的漏洞。Delta Controls願意合作並及時回應我們的披露,這似乎是朝著正確方向邁出的一步。請參閱Delta Controls 的以下聲明,其中介紹了與McAfee的合作以及負責任的披露的強大功能。
資料來源: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/from-building-control-to-damage-control-a-case-study-in-industrial-security-featuring-deltas-entelibus-manager/
|