网络流传可针对15家企业工业控制系统(ICS)密码破解的软件,工控安全企业Dragos近日发布一份研究报告,指出这些密码破解软件并不安全,一旦使用,将被偷偷植入Sality恶意程序。
安全企业Dragos发现,有人通过社群网站宣传或发布网络广告消息,声称提供PLC或HMI的密码破解工具。根据该公司研究人员的说明,他们是进行例行性漏洞评估时发现,并指出这种针对工业控制系统工程师与操作人员攻击方式,规模不大却容易被忽视,且这种手法仍持续在网络传播,他们认为背后可能有个生态系统。
在Dragos本次披露的资讯,多达15家企业工控设备的部分系列产品被破解,里面有多家全球大厂,例如:Automation Direct、欧姆龙(Omron)、西门子(Siemens)、三菱(Mitsubishi)、松下(Panasonic)、富士电子(Fuji Electric),以及LG、Vigor、Pro-Face、Allen Bradley、Weintek、ABB,台湾厂商台达自动化,也在名单之中。
Dragos也公开一张广告截屏,说明实际状况,其中可看到有人在社交平台Facebook,设立“PLC Password Unlock”粉丝专页,发布这类宣传资讯。根据类似的关键字,我们实际到脸书上,也找到数个宣传同样工具的粉丝专页,而且这些内容至今都还能找到。
不过,谁会去购买这样有争议的工具?毕竟,任何有安全意识的人员都知道,勿从不受信任的来源下载与执行软件。
对此,Dragos通过一个场景来说明。当年轻工程师需要在Automation Direct系统上,修改老同事编写的DirectLogic 06 PLC梯形逻辑,然而,在执行PLC程序设计软件DirectSOFT,出现弹出密码提示的步骤,年轻工程师并不知道密码,也无法联系到已退休、可能恰巧现在出海度假的老同事,于是上网寻找答案时,并发现破解软件的广告,而打算采用,尽管其他具有安全意识的同事警告,别将这种非必要风险引入公司OT环境,年轻工程师却认为,这是时间急迫的工作任务,最终仍购买该PLC密码破解软件,并在环境中执行,就有可能遇险。
经过Dragos研究员的调查,他们针对能解密Automation Direct系统的软件进行分析,发现此工具利用密码检索漏洞,确实能恢复密码,同时也暗藏名为Sality的恶意程序,这是一个点对点僵尸网络,具有加密货币挖掘的能力。
后续,Dragos研究人员也向该企业通报,说明发现的这个产品漏洞,将导致PLC密码被破解,该漏洞编号为CVE-2022-2003,企业也已经修补。
具体而言,这个漏洞可让攻击者利用向CPU串行连接端口发送特定串行资讯的方式,导致PLC回应明文形式的PLC密码,这将让攻击者可进行访问并执行未经授权的更改。而且,Dragos研究人员发现可以通过以太网络重新复制这个漏洞利用,这大幅增加了该漏洞的严重性。
在厂商修补漏洞修补之后,美国网络安全暨基础设施安全局(CISA)在6月16日发布一份工业控制系统(ICS)公告,说明CVE-2022-2003是CVSSv3评分7.7分的漏洞,受影响的是AutomationDirect企业的DirectLOGIC具串行通信版本的产品,呼吁用户尽快升级到2.72以后的新版固件。
至于针对其他品牌的破密工具,虽然Dragos并没有一一进行测试,但他们在初步动态分析几个样本后,也表明这些破密工具都包含了恶意程序。另一方面也意味着,这些品牌的PLC与HMI设备,可能存在类似的漏洞需要留意与修补。
研究人员呼吁工控环境的管理者,在需要重新取得PLC或HMI的密码时,应该寻求开发厂商协助,而非通过来路不明的软件。
根据Dragos公开的密码破解器宣传截屏,有人在脸书开设“PLC Password Unlock”粉丝专页,宣传可提供多种PLC与HMI密码破解器,并留下联系方式吸引用户洽询。
实际使用类似的关键字,发现脸书有不少这类粉丝专页,宣称可提供PLC、HMI密码解密器,上图就是一例,有人宣传可破解台达自动化DVP系列的工具,但实际是恶意陷阱之一。根据安全企业Dragos研究,这些工具实际是利用漏洞找出密码,同时还暗藏恶意。
在这次披露中,工控安全企业Dragos指出有15家品牌的多款PLC与HMI产品被破解。