专注于工控系统的安全厂商Claroty Research发现,Moxa在内的三家工控系统的VPN产品存在远程程序代码执行(RCE)漏洞,使其工控系统及网络暴露于黑客攻击风险中。
该公司发现漏洞的VPN主要用于直接访问工控系统(ICS),后者的角色是维护和监控炼油、核电、水利/发电厂的厂区控制器及设备,包括PLC及I/O设备。这些工控系统主要是位于网络层Level 5,但其监控及可访问的设备则是位于网络Level 1/0。这些漏洞使攻击者可经由VPN实例上的漏洞,直接访问厂区控制设备,造成实际损害。
出现漏洞的产品分别来自Moxa、Secomea和HMS Networks。首先CVE-2020-14511漏洞影响Moxa EDR-G902和EDR-G903的工业VPN路由器服务器。成功开采这漏洞可让攻击者发送恶意HTTP调用,在目标系统的网页服务器触发记忆堆栈(stack)的缓冲溢出,而不需任何输入密码便能远程执行程序代码。
其次是Secomea GateManager,它是ICS远程访问服务器,常部署为SaaS服务,可提供快速联网服务,但免于服务器的繁复设置。研究人员发现它的路由执行实例组件存在重大风险的CVE-2020-145漏洞。GateManager服务器的执行实例组件为了接收远程网站或设备的连接,暴露于外部网络如互联网。新发现的漏洞出在它处理终端发出的HTTP调用标头不当,使黑客可以执行任意程序代码、取得企业内部网络控制权,还能解密所有经由VPN发送的流量内容。
GateManager另外还出现两个非由Claroty Research披露的漏洞,包括RCE漏洞CVE-2020-14508以及指令执行漏洞CVE-2020-14510。
另一个问题产品是HMS Networks的eWon,它是提供机器设备商等制造厂远程监控工厂设备性能的VPN连接服务器。用户通过名为eCatcher的VPN用户端软件来连接eWon。Claroty研究人员发现eCatcher存在重大的堆栈内存缓冲溢出漏洞(CVE-2020-14498),如果用户被引诱访问恶意网站,或是打开包含HTML的恶意邮件,就能触发这项漏洞。研究人员进行PoC测试下,只要用户计算机的Outlook接收并加载一封包含恶意图片文件的邮件,就能以最高权限执行程序代码,接管用户整台机器。
研究人员发现这三个漏洞后分别在4月及5月通报企业,后者也在6月、7月完成修补。
研究人员指出,由于COVID-19疫情扩散,许多企业员工在家上班,使得提供远程访问工控系统的工具运用越来越普及,但也会成为黑客攻击的焦点。研究人员相信,攻击者可能使用拒绝服务(DoS)、ICS勒索软件、钓鱼信件等手法来攻击这些设备。
ICS相关的攻击事件已屡见不鲜。伊朗7月间一个星期内连续发生核武及军事设施两起爆炸,媒体报道可能和黑客攻击有关。