西門子PLC的隱藏功能可以被用來攻擊
西門子公司的一些新型可編程邏輯控制器(PLC)具有隱藏功能,使設(shè)備面臨被攻擊的風(fēng)險����。修理已經(jīng)提上日程��。
研究人員發(fā)現(xiàn)�,一些新型西門子可編程邏輯控制器(PLC)的一個非正式訪問功能,可以作為攻擊者的攻擊武器�����,也可以作為辯護(hù)人的取證工具��。
德國波鴻魯爾大學(xué)的研究人員在研究西門子S7-1200 PLC的啟動程序時��,發(fā)現(xiàn)了這種基于硬件的特殊訪問功能��。當(dāng)設(shè)備啟動時,可編程邏輯控制器引導(dǎo)程序處理軟件更新并驗證可編程邏輯控制器固件的完整性����。
研究人員發(fā)現(xiàn),使用這種特殊訪問功能的攻擊者可以在PLC啟動的半秒鐘內(nèi)繞過啟動程序的固件完整性檢查�����,加載惡意代碼來奪取對PLC進(jìn)程的控制�����。
但是為什么這種特殊的訪問功能會存在于這些PLC中�����,仍然是個謎�。沒有供應(yīng)商在嵌入式設(shè)備中留下隱藏維護(hù)端口的例子,但西門子PLC中留下的這個例子讓研究人員感到困惑���。
我們不知道西門子為什么會有這個功能����。從安全角度來說���,是有問題的�,因為你還可以讀寫內(nèi)存�����,從RAM中傳輸內(nèi)存的內(nèi)容��。
研究人員向西門子報告了他們的發(fā)現(xiàn)����,西門子表示正在開發(fā)漏洞補(bǔ)丁。
該公司在一份媒體聲明中表示:西門子已經(jīng)注意到波鴻魯爾大學(xué)對SIMATIC S7-1200 CPU硬件特殊訪問的研究�����,專家組正在制定解決這個問題的方案��。西門子將在安全咨詢中發(fā)布關(guān)于該漏洞的更多信息�,并通過西門子產(chǎn)品計算機(jī)應(yīng)急響應(yīng)團(tuán)隊的通信渠道通知客戶。
一個關(guān)鍵問題是修復(fù)是否需要硬件替換而不是軟件更新��。當(dāng)被問及此次PLC維修是硬件還是軟件更新時���,西門子表示�,其“專家正在評估替代方案?����!?/span>
但是西門子PLC的特殊訪問功能也不是完全沒有任何好的方面:這個功能對于那些保護(hù)設(shè)備安全的人很有用����,可以用于PLC內(nèi)存取證。
研究人員可以使用這種特殊的訪問功能來查看PLC內(nèi)存的內(nèi)容����,即工廠操作員可以發(fā)現(xiàn)可能植入他們設(shè)備中的惡意代碼。西門子不允許用戶查看PLC內(nèi)存內(nèi)容��,但您可以使用此特殊訪問功能查看����。
下個月在倫敦舉行的歐洲黑帽會議上,研究人員將展示他們的研究成果����,并發(fā)布一個工具來執(zhí)行這種法醫(yī)記憶轉(zhuǎn)儲。
他們做了什么�����?
在沒有觸發(fā)引導(dǎo)程序校驗和檢測的情況下,研究人員通過PLC固件更新功能成功將自己的代碼寫入閃存芯片����。他們說���,問題是如何減輕這種攻擊�,因為惡意代碼可以嵌入到引導(dǎo)閃存中���。'
看西門子能否通過軟件更新修復(fù)�。如果西門子能用軟件修復(fù)���,就意味著攻擊者也可以覆蓋啟動程序����。換句話說�,沒有辦法徹底解決這個問題。
這也是研究人員想要發(fā)布這個固件內(nèi)容轉(zhuǎn)儲工具的原因之一���。借助這個工具��,攻擊者再也無法隱藏在PLC中����。
能在供應(yīng)鏈制造過程中實際接觸這個端口或組裝PLC的攻擊者,可以利用這種技術(shù)讀寫設(shè)備內(nèi)存����。通過這種方式,他們可以操縱PLC操作�����,例如提供錯誤的讀數(shù)或其他儀器數(shù)據(jù)����。
'
這種信任概念在新交付的PLC中的存在是一個很大的問題。
并不是這個特殊的訪問功能本身允許用戶讀寫閃存�����。閃存讀寫的實現(xiàn)是一系列功能巧妙組合的結(jié)果����,可以讓用戶在設(shè)備上執(zhí)行自己的代碼。一旦可以執(zhí)行自己的代碼����,就可以完全控制這個PLC了�����。
支持西門子安全
研究人員表示���,他們之所以選擇研究西門子PLC,是因為西門子是市場領(lǐng)導(dǎo)者����,也是因為公眾對PLC操作系統(tǒng)知之甚少��。
雖然很多嵌入式系統(tǒng)的安全防護(hù)還是很差�,但是西門子在安全方面做的工作比其他供應(yīng)商多。
說實話�����,西門子PLC是行業(yè)頂尖的�����。他們一直在添加研究人員必須繞過的各種功能和安全特性�����。西門子為保持其在嵌入式安全領(lǐng)域的領(lǐng)先地位做了大量工作。
盡管如此�����,研究人員堅持認(rèn)為�,需要做更多的工作來保護(hù)工廠運營商的可編程邏輯控制器免受攻擊者或供應(yīng)鏈腐敗的影響。如果有類似于西門子PLC的特殊功能�����,供應(yīng)商應(yīng)通知其客戶���??蛻魬?yīng)該了解這些信息����,以便在風(fēng)險評估中考慮到這些信息。
波鴻魯爾大學(xué)團(tuán)隊的研究工作是PLC系列研究項目的最新成果��。今年夏天��,在發(fā)現(xiàn)使用相同固件的現(xiàn)代S7系列PLC共享相同的公共加密密鑰后��,另一組安全研究人員建立了一個假冒的工程工作站�����,可以欺騙和篡改西門子S7 PLC的操作。
在2016年�����,該研究團(tuán)隊的安全研究員Abbasi創(chuàng)建了一個PLC rootkit��,可以在任何品牌的PLC上執(zhí)行�����。