工控系統(tǒng)的全球安全現(xiàn)狀：全球漏洞實例分析

一、摘要

? 運營技術(shù)(OT)、網(wǎng)絡和設(shè)備，即工業(yè)環(huán)境中使用的所有組件，在設(shè)計時并未考慮到安全性。效率和易用性是最重要的設(shè)計特征，然而，由于工業(yè)的數(shù)字化，越來越多的設(shè)備和工業(yè)網(wǎng)絡想公網(wǎng)開放。這有利于工業(yè)環(huán)境的管理和組織，但他也增加了共勉，為攻擊者提供了可能的切入點。

? 最初，侵入生產(chǎn)網(wǎng)絡意味著首先打破信息技術(shù) (IT) 邊界，例如公共網(wǎng)站，然后橫向移動到工業(yè)控制系統(tǒng) (ICS) 以影響生產(chǎn)環(huán)境。然而，許多 OT 設(shè)備直接連接到外網(wǎng)上，這大大增加了入侵的威脅，特別是因為 OT 設(shè)備包含多個漏洞。在這項工作中，論文從攻擊者的角度分析了互聯(lián)網(wǎng)中 OT 設(shè)備的存在。公開可用的工具，例如搜索引擎Shodan和漏洞數(shù)據(jù)庫，用于查找常用的 OT 設(shè)備并將漏洞映射到它們。根據(jù)原產(chǎn)國、制造商、數(shù)量以及漏洞的嚴重程度對這些發(fā)現(xiàn)進行分組。發(fā)現(xiàn)了超過13000臺設(shè)備，幾乎所有設(shè)備都包含至少一個漏洞。歐洲和北美國家是迄今為止受影響最嚴重的國家。

二、引言

? 在1970年代，SCADA一詞被創(chuàng)造出用來描述工業(yè)網(wǎng)絡中的所有控制和監(jiān)控，今天也稱為操作技術(shù) (OT) 網(wǎng)絡。首先，工業(yè)控制系統(tǒng) (ICS) 是以特定應用的方式創(chuàng)建的。由于不同企業(yè)的控制要求不同，不同工業(yè)環(huán)境中的控制采用固定布線和定制設(shè)計。為了降低成本和所需的工作量，同時增加 ICS 的功能，使用了商用現(xiàn)貨 (COTS) 設(shè)備?？删幊踢壿嬁刂破?(PLC) 是控制工業(yè)機器傳感器和執(zhí)行器的小型嵌入式計算設(shè)備，并使自動化環(huán)境中的設(shè)置更加容易。盡管如此，應用程序還是超出特殊用例和特定運營商的，并且運營技術(shù) (OT) 網(wǎng)絡在物理上與公共網(wǎng)絡分離。這種分離提供了一定程度的安全性，這就是為什么許多工業(yè)通信協(xié)議，如EtherCAT和Modbus，在其初始版本中沒有提供加密和身份驗證的原因。

? 隨著物聯(lián)網(wǎng) (IoT)融合到工業(yè)應用中，創(chuàng)造了工業(yè)物聯(lián)網(wǎng) (IIoT)，應用專用性和物理分離的假設(shè)并不再適用。物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)的關(guān)鍵推動因素是相互通信和嵌入式計算，需要網(wǎng)絡能力。這反過來又增加了工業(yè)環(huán)境的攻擊面。盡管有幾家企業(yè)出于組織原因不得不依賴傳統(tǒng)設(shè)備，但網(wǎng)絡正變得更加開放和互聯(lián)。因此，設(shè)計時如果使未考慮安全性的網(wǎng)絡和設(shè)備會暴露在公共網(wǎng)絡中會影響很嚴重，安全性也必須集成到 OT中。大多數(shù)工業(yè)組織不會在生產(chǎn)規(guī)模上使用 IIoT 解決方案。互連是任何 IIoT 的關(guān)鍵推動力，它也是 IIoT的必要條件。

? 在具有經(jīng)典通信協(xié)議的工業(yè)組織中，向基于 IIoT 的互聯(lián)方法的轉(zhuǎn)變將這些協(xié)議的安全問題轉(zhuǎn)移到了一個更互聯(lián)的環(huán)境中，從而擴大了攻擊方法。將IIoT 集成到工業(yè)組織中的一個常見問題在于可用技術(shù)與當前和過去的最先進技術(shù)之間的差距。 目前，大多數(shù)工業(yè)組織都依賴于 1970 年代開發(fā)的 SCADA 協(xié)議，沒有任何安全措施。 事實證明，在這些昂貴的、特定于應用程序且通常難以訪問的工業(yè)環(huán)境中更改此類協(xié)議并非易事。因此，從基于 SCADA 的經(jīng)典控制到 IIoT 的融合將現(xiàn)有協(xié)議集成到新穎的解決方案中。 對于現(xiàn)場級通信，Modbus/TCP 、 非常適合。但是，任何超出給定車間邊界的交互都應由網(wǎng)關(guān)應用程序控制。工業(yè)和科學都提出了能夠?qū)⒁呀⒌话踩耐ㄐ艆f(xié)議轉(zhuǎn)換為安全協(xié)議的此類網(wǎng)關(guān)的方法。

? 預計在不久的將來，IIoT 環(huán)境將采用經(jīng) 典的工業(yè)通信協(xié)議進行控制和監(jiān)控，而以安全為重點而設(shè)計的OPC?UA等算法將用于工廠間或者任務在給定環(huán)境中進行通信的收集和調(diào)整設(shè)置。因此，快速放棄和替換遺留協(xié)議似乎不太可能。相反，它們必須集成到新的協(xié)議環(huán)境中。為了使 IIoT 解決方案安全可靠地工作，它必須具備網(wǎng)絡安全性。為了設(shè)計對策，它需要對威脅形勢和安全問題的嚴重性有透徹的了解。

2.1 這個科學工具的貢獻是兩面性的

1）從攻擊者的角度，根據(jù)實際實驗結(jié)果對 ICS 漏洞進行全面評估。 據(jù)我們所知，雖然對設(shè)備進行了類似的分析，但僅限于日本，在此深度評估之前還沒有這樣做過。

2）一種可以系統(tǒng)地發(fā)現(xiàn)設(shè)備并評估其對給定的常見漏洞和暴露 (CVE) 的敏感性的方法。

3）對特定 OT 設(shè)備中的漏洞進行定量評估和比較，包括嚴重性和潛在影響，以得出對組織的威脅的指標。

三、背景

? 本節(jié)介紹了這項工作所需的兩個概念。首先，介紹了對工業(yè)企業(yè)的典型攻擊。OT 網(wǎng)絡的特性導致了攻擊者的方法，這與基于信息技術(shù) (IT) 的利用不同。其次，討論了信息收集的概念。該術(shù)語通常用于安全評估和網(wǎng)絡攻擊。兩者都試圖發(fā)現(xiàn)和利用計算機系統(tǒng)中的漏洞。根據(jù)洛克希德馬丁公司的網(wǎng)絡殺傷鏈，第一步包括偵察，它區(qū)分主動掃描和被動掃描。偵察是旨在收集有關(guān)目標的信息的任何活動。之后，討論了 ICS 市場在知名供應商之間的分布，因為它為選擇用于分析的設(shè)備提供了基礎(chǔ)。最后，概述了SCADA和OT安全漏洞分析中的相關(guān)工作。

3.1 對工業(yè)應用的典型攻擊階段

? 通常，工業(yè)攻擊包括三個階段。

? 首先，必須突破 IT 層。該 IT 層可以構(gòu)成組織的面向公眾的網(wǎng)站或可從公網(wǎng)訪問的資源。社會工程是破壞 IT 層的最常見和最成功的形式，例如魚叉式網(wǎng)絡釣魚 。通過看起來有效的電子郵件或文檔誘騙員工打開受惡意軟件感染的資源，從而使攻擊者能夠感染他們的計算機。其他基于技術(shù)的 Web 資源攻擊向量由OWASP 基金會收集和評級。

? 攻擊者成功突破這一層后，需要穿越到 ICS 平面，在此處控制和監(jiān)視 OT 設(shè)備及其任務。在這里，攻擊者可以對 OT 設(shè)備施加影響，并在破壞行為中篡改過程描述。此外，這里可能發(fā)生敏感或受保護信息的盜竊以及間諜活動和知識產(chǎn)權(quán)盜竊行為。

? 該分類的第三層是物理層。由于工業(yè)應用中的 OT 設(shè)備構(gòu)成了網(wǎng)絡物理系統(tǒng) (CPS)，因此數(shù)字域中的動作會導致物理域中的動作。例如，控制自動鉆頭將導致在鉆頭下方的任何材料上鉆孔。這對 OT 設(shè)備的安全性和安全性具有重大影響，因為這種對現(xiàn)實世界的影響使攻擊者能夠造成財產(chǎn)損失和潛在的致命傷害。 ICS 上的幾起著名網(wǎng)絡攻擊，例如Triton 惡意軟件、2015 年 12 月由惡意軟件BlackEnergy引起的烏克蘭停電以及Stuxnet，擾亂了物理過程以有序進行來實現(xiàn)他們的目標。 OT 設(shè)備和網(wǎng)絡在設(shè)計時并未考慮到安全性，這一事實激發(fā)了將 OT 設(shè)備置于內(nèi)部網(wǎng)絡中的需求。如果允許訪問公共網(wǎng)絡，網(wǎng)絡攻擊的風險就會大大增加。

3.2 信息收集和掃描

? 根據(jù)洛克希德馬丁網(wǎng)絡殺傷鏈，信息收集是網(wǎng)絡攻擊的第一階段。 執(zhí)行它以獲取有關(guān)預期目標的信息。偵察的第一步，被動掃描，是一種被動活動，因為攻擊者沒有采取任何行動來影響或與正在調(diào)查的系統(tǒng)進行交互。相反，使用公共資源并收集信息。例如地理情報 (GEOINT) 和 OSINT 等方法，例如 whois 域枚舉、谷歌地圖圖像分析或郵件和相當好的隱私 (PGP) 服務器查詢。從社交媒體和商業(yè)網(wǎng)絡收集信息也是基于 OSINT 的被動掃描的一種手段?？偠灾荚谑占嘘P(guān)預期目標的信息而目標沒有機會了解它的每一項活動都稱為被動掃描。滲透測試人員，即測試網(wǎng)絡安全性的黑客，以及犯罪分子通常會在被動掃描上投入大量精力，因為可以在不提醒目標的情況下獲取有價值的信息以用于利用。在這項工作的過程中，Shodan被用作被動掃描工具。 Shodan是一個基于Internet 的搜索引擎，它掃描每一個連接到 Internet 的設(shè)備，并提供一個接口來查詢這些信息。此功能明確擴展到與安全相關(guān)和隱私相關(guān)的設(shè)備，例如 IP 攝像頭物聯(lián)網(wǎng)設(shè)備以及 ICS 設(shè)備，僅舉幾例。

? 與被動掃描相比，主動掃描是通過主動參與的目標系統(tǒng)執(zhí)行的，例如使用nmap等網(wǎng)絡掃描儀進行主機發(fā)現(xiàn)和端口掃描。在主動掃描中，攻擊者以交互可追蹤的方式主動查詢目標系統(tǒng)。因此，主動掃描的執(zhí)行范圍不如被動掃描，因為它可以警告潛在目標有關(guān)惡意活動。

3.3 相關(guān)工作

? 據(jù)我們所知，文獻中尚未從攻擊者的角度評估 ICS 和 OT 組件中的漏洞。然而，各種研究解決了 ICS 的威脅和風險。

? 這種方法有點類似于本工作中執(zhí)行的方法，但Gonzales等人并未對這些漏洞中實際存在多少漏洞進行評估。該分析的結(jié)果似乎與這項工作的結(jié)果相關(guān)，但是，分析的角度不同。 Thomas 和 Clothia根據(jù)歷史 SCADA 漏洞能力數(shù)據(jù)對漏洞類型進行了分類。基于這些知識，提出了有關(guān)如何預測和防范未來漏洞的建議。相比之下，這項工作強調(diào)了眾所周知的漏洞的危險。只要舊漏洞沒有得到修復，它們就會對組織構(gòu)成威脅，我們的研究表明存在大量舊漏洞。諾爾斯等人。評估了已知漏洞，分析了不同行業(yè)的安全狀態(tài)，并討論了在工業(yè)環(huán)境中引入安全措施的方法和障礙。

? 同樣，Sullivan基于已知攻擊分析和評估攻擊向量，并在詳細闡述 ICS 和 IT系統(tǒng)之間的差異后引入了緩解方法。Ding等人從理論控制的角度討論了對 CPS 的潛在攻擊。Humayed等人從不同的角度對現(xiàn)有的 CPS 安全研究進行了調(diào)查：安全視角、CPS視角和 CPS 嵌入的系統(tǒng)視角。 McLaughlin等人分析了 ICS 的網(wǎng)絡安全格局。他們評估 ICS 安全的概念，考慮過去對 ICS 的網(wǎng)絡攻擊，并提供 ICS 安全評估，同時查看當前的測試平臺和攻擊和防御方法的趨勢。霍爾姆等人將重點放在用于分析 CPS 的攻擊和漏洞的測試平臺上。安倍等人。根據(jù)日本的觀察評估了可從 Internet 訪問的 ICS 的威脅。他們解釋了如何找到和利用互聯(lián)網(wǎng)可訪問的 ICS 設(shè)備，但沒有提供定量概述，并且僅限于日本?；?Luallen 的調(diào)查評估了對 ICS 的成功和嘗試攻擊。此外，ICS 和 IIoT 基礎(chǔ)設(shè) 施的某些方面也在研究中得到解決。 Mathur 和 Tippenhauer、Gardiner等 人提出了可用于研究漏洞、漏洞利用和防御的測試平臺。

四、研究方法

? 本節(jié)討論用于獲取、處理和評估數(shù)據(jù)的方法。首先，介紹了在這項工作過程中應用的設(shè)計決策。然后，介紹了執(zhí)行個別案例研究的方法。設(shè)備的選擇受 PLC 領(lǐng)域供應商分布的影響，這將在第三部分中介紹。

4.1 評估決定

? 在本節(jié)中，介紹了為評估做出的幾個決定。 這些決定會影響分析的結(jié)果，但由于現(xiàn)實中某些規(guī)定是不完善的，所以這些決定是必要的。

? 不建議將 PLC 設(shè)備暴露在 Internet 上，預計大量 ICS 設(shè)備未連接到 Internet。 因此，預計會出現(xiàn)大量假陰性結(jié)果，即在 ICS 環(huán)境中運行但 Shodan 未發(fā)現(xiàn)的設(shè)備。 這是很合理的，因為給定的調(diào)查專門針對那些連接到 Internet 的 ICS 設(shè)備。另一方面，由于兩個原因，也會出現(xiàn)誤報。首先，某些設(shè)備可能以不使用標準化方式使用 TCP 或 UDP 端口的方式進行配置。正如稍后討論的那樣，每個查詢都依賴于端口號來識別通信協(xié)議。所述端口的非標準化使用可能會引入假陽性和假陰性結(jié)果。但是，每個查詢都有其他方面，并且會進一步分析結(jié)果。端口用作潛在易受攻擊設(shè)備的初始指標。發(fā)現(xiàn)它們后，將使用附加信息來確保對設(shè)備的正確分析。還會考慮來自同一設(shè)備上其他端口的進一步洞察，例如帶有 HTTP指紋的 Web 服務。因此，由于端口的非標準化使用而導致的誤報預計不會對結(jié)果產(chǎn)生重大影響。其次，一些組織使用能夠模仿 ICS 協(xié)議的蜜罐，例如 Conpot。

? 此外，許多漏洞對應于特定的固件版本，而更高版本則修補了給定的漏洞。一些供應商可能會在不更改版本號的情況下修補舊固件，從而使這些漏洞功能過時。在這項研究中，我們沒有發(fā)現(xiàn)這種做法的證據(jù)。此外，在某些情況下，Web服務很容易受到攻擊，供應商的安全咨詢建議網(wǎng)絡分段、防火墻和停用服務。在這項工作的過程中，這些服務被認為是易受攻擊的。此外，結(jié)果顯示在表格中，其中包含CVE 以及易受攻擊所需的條件以及可以得出 CVE 漏洞的指標。指示器是一個圓圈，含義如下。

4.2 實驗裝置

? 在第三節(jié)中介紹的選定設(shè)備通過搜索引擎以迭代方式進行查詢。該過程的示意圖如下圖所示。

? 首先，要搜索的查詢是通過人工檢查和交互設(shè)計的。在這項工作中，分析了來自不同供應商的五個 PLC 系列。相應的查詢旨在根據(jù)指紋和開放端口捕獲適合正在調(diào)查的各個系列的任何設(shè)備。對于通過查詢找到的每個結(jié)果主機，該主機通過Python?API使用Shodan進行掃描，以獲得對開放端口并提供服務和指紋。結(jié)果存儲在 JSON 格式的文件中，為此使用了Python的json庫。第二步，每個 CVE 的條件都是從多個來源手動測出的，主 要是美國國家標準與技術(shù)研究院 (NIST) 國家漏洞數(shù)據(jù)庫 (NVD)，還有供應商的安全建議。這些條件通常包括可以從指紋、打開的端口或服務或主機上存在的某些模塊派生的固件版本。在最后一步中，通過自動化Python 腳本從 JSON 格式的信息中獲取每個可能適用于給定設(shè)備的 CVE 的初始條件。然后將結(jié)果用于計算指標，例如每個國家/地區(qū)的設(shè)備數(shù)量和漏洞。為此，使用了定制的Python腳本。為了使這個過程更清楚，在下面的腳本示例中描述了虛構(gòu)的供應商KitchenAppliances的PerfectToast 系列。研究表明， PerfectToast 系列始終在端口 4567 上運行服務，并且還顯示“port:4567 perfect toast”的自己歐文么，因此將使用查詢“port:4567 perfect toast”。這將檢測到

PerfectToast 系列的所有潛在設(shè)備。主機存儲在 csv 類型的文件中，并在下

一步中查詢可以從給定主機獲得的任何信息，例如，額外的開放端口和提供的服務。這將獲取每個PerfectToast 設(shè)備的信息，讓 我們假設(shè)PerfectToast?device有一個開放的 HTTP 端口（編號為 80）和一 個開放的 SSH 端口（編號為 22），并在查詢時返回 Web 服務器版本和SSH 版本。然后將所有這些設(shè)備與給定的主機信息一起存儲在 JSON 文件中，將手動收集PerfectToast 設(shè)備可能存在漏洞的所有 CVE，以及與漏洞相關(guān)的條件。例如，如果 HTTP 端口 80 上的 Apache 服務器版本低于2.9 ， PerfectToast 設(shè)備就容易受到 CVE 的攻擊。不幸的是，CVE 的結(jié)構(gòu)很難自動發(fā)現(xiàn)在非結(jié)構(gòu)化文本中解釋的任何條件。查詢存儲在 JSON 文件中的設(shè)備以評估它們是否符合 CVE 的條件。因此， Shodan發(fā)現(xiàn)的每個PerfectToast 設(shè)備都被查詢是否具有開放的 HTTP 端口和低于 2.9 的 Apache 服務器版本。如果滿足此條件，則該設(shè)備被認為是易受攻擊的。以這種方式，每個設(shè)備都被查詢每個潛在的 CVE。隨后，對這些查詢的結(jié)果進行統(tǒng)計分析，從而為 ICS 的實際脆弱性狀態(tài)提供有價值的信息。此外，根據(jù)成功攻擊的目標，將結(jié)果分為六類。

? 一般而言，攻擊者可以通過篡改（即破壞數(shù)據(jù)的完整性）來影響流程、泄露、中斷服務或提升權(quán)限以增加操作的范圍和影響。當然，可能存在重疊，例如通過更改過程參數(shù)的拒絕服務 (DoS)，適合D和T，由于預期的結(jié)果在這種情況下是有意義的，所以這個實例將被標記為D。此時的欺騙沒有什么意義，因為許多應用程序根本沒有身份管理。此外，否認很少是攻擊的目標，而是達到目的的手段。在這項工作過程中獲得的所有結(jié)果都在第四節(jié)中介紹。

4.3 ICS設(shè)備供應廠商分布

? ICS 設(shè)備市場主要由五家供應商覆蓋。 2017 年的分布如圖 4 所示，由Dawson [39] 創(chuàng)建。基于來自statista的信息，PLC 供應商的市場份額如表 所示。這與上圖 所示的分布相匹配。此外，商業(yè)市場分析，例如Mordor Intelligence和美通社名稱ABB Ltd.、三菱電機、施耐德電氣、羅克韋爾自 動化、和Siemens [41]，或Schneider Electric、 Rockwell Automaton、 Siemens、Mitsubishi Electric和Omron [42]，分別是最杰出的 PLC 供應商。因此，我們選擇分析以下五家供應商的產(chǎn)品或產(chǎn)品組，因為它們代表了 PLC 市場的很大份額。

? 含不同的潛在漏洞，因此選擇了示例性設(shè)備或設(shè)備組進行研究。這些設(shè)備應該很容易被Shodan 識別，具有可以檢查的漏洞，并且數(shù)量足夠大以具有表現(xiàn)力。各個供應商對設(shè)備類型的先發(fā)制人分析導致了下面分析的設(shè)備。

五、評估

? 本節(jié)根據(jù)第 III 節(jié)中討論的方法評估所介紹的設(shè)備。獲得了關(guān)于這些設(shè)備關(guān)于安全狀態(tài)的概述。

5.1 施耐德電氣 BMX P34 系列

? 評估的設(shè)備之一是施耐德電氣 BMX P34 系列 [43]。施耐德電氣以 Modicon 的名義開發(fā)了 Modbus 協(xié)議，是 ICS 技術(shù)的第四大制造商。施耐德電氣在大約 150 個國家/地區(qū)開展業(yè)務，因此對工業(yè)格局產(chǎn)生了重大影響。 Schneider Electric BMX P34 系列是Modicon M340系列的一部分，包含七個帶有 CPU 和不同連接選項的 PLC 設(shè)備。Shodan通過尋找兩個條件對這些設(shè)備進行了指紋識別。首先，設(shè)備必須提供Modbus 功能。這是通過開放端口分析的，Modbus/TCP 的標準端口是 502。如果該端口上的服務處于活動狀態(tài)，則假定它與 Modbus 協(xié)議進行通信。

? “施耐德電氣 BMX”。由于所有標語都具有表達性，因此可以安全地假設(shè) 、找到的每個設(shè)備實際上都通過端口 502 上的 Modbus 進行通信。一般來說，這個系列的設(shè)備總共可以包含 59 個不同的漏洞，根據(jù) NISTNVD [37] 列為 CVE。列出了這些漏洞，常見漏洞評分系統(tǒng)計算器（CVSS）評分版本 3.1和取自下表中相應的漏洞描述。如果 CVE 沒有 CVSS 分數(shù) 3.1 版，則會手動計算并用星號表示。

? 由于 59 個 CVE 中的大多數(shù)共享相同的條件，因此它們以適用于相同設(shè)備的方式聚集成 15 個集群，包括配置和固件版本。這意味著如果一個設(shè)備易受集群中的一個 CVE 的影響，那么它也易受其他所有 CVE 的影響。這由最左邊的列Cl 表示。值得注意的是，Cluster 7 的所有漏洞僅需要訪問Modbus/TCP 端口才能被利用。由于該端口用于發(fā)現(xiàn)設(shè)備，因此屬于數(shù)據(jù)集一部分的所有設(shè)備都容易受到攻擊。

? 在上表中，Top10的列總和，而Total是所有設(shè)備的總和。可以看出，每筆款項中約有 85% 出現(xiàn)在前十名的國家中。大多數(shù)設(shè)備是在施氣耐的德原電產(chǎn)國法國發(fā)現(xiàn)的，其次是西班牙和美國。每個國家/地區(qū)的設(shè)備相對數(shù)量和每個國家/地區(qū)的 CVE 相對數(shù)量在 0.5 的偏差范圍內(nèi)。但與相對值相比，由 CVSS 加權(quán)的 CVE 一開始幾乎是相對值的一半CVE 的數(shù)量，并且比 CVE 的數(shù)量下降得慢。

? 也就是說，盡管法國、西班牙、美國和意大利操作的大多數(shù)設(shè)備都包含大多數(shù)漏洞，但這些漏洞并不像其他國家的漏洞那么嚴重。以色列的加權(quán)分數(shù)百分比略高于 CVE 數(shù)量。這意味著設(shè)備在那里運行的 CVE 更容易受到具有嚴重影響的攻擊。值得注意的是，由于集群 7 中的所有 CVE，如表 II 中所述，僅依賴 Modbus/TCP 通信，因此所有評估的設(shè)備都容易受到攻擊。但是，也存在不受監(jiān)控的設(shè)備易受攻擊的漏洞，即依賴于正在運行的 TFTP 服務器的 CVE?2019?6851 和需要活動 HTTP 服務器以及特定設(shè)備版本的CVE?2014?0754。一般來說，每個設(shè)備至少易受一個CVE的影響，最多一個設(shè)備易受除上述之外的所有集群的影響。每臺設(shè)備的平均漏洞數(shù)為 5.85。每個評估的設(shè)備至少有一個開放端口 TCP 502，它是 Modbus/TCP 的默認端口。除此之外，還有 237 臺設(shè)備在 TCP 端口 80 上進行偵聽，表明是 Web 服務器。利用集群 9、10、11 和12 中的 CVE 需要運行的 Web 服務器。在 TCP 端口 21 上偵聽的 58 個設(shè)備通常用于 FTP，并且需要利用集群 5、13 和 15 中的 CVE。54在 TCP 端口23 上偵聽的設(shè)備通常用于 Telnet 協(xié)議。它是一種不提供加密的遠程控制協(xié)議，因此僅適用于專用網(wǎng)絡（如果有的話）。 Telnet 是利用 Cluster 15 中的 CVE 所必需的，僅包含 9 年歷史的 CVE?2011?4859。總共有 76 臺設(shè)備易受 CVE?2011?4859 攻擊，這是一個不好的跡象，因為公開的漏洞存在足夠長的時間。 Shodans內(nèi)置的 CVE 匹配器一共發(fā)現(xiàn)了 1412 個CVE。但是，分布是傾斜的，每個設(shè)備的平均值為 1.8 個 CVE，最小值為 0，最大值為 169，方差為 124.41。這意味著很少有設(shè)備包含Shodan自動匹配的大部分漏洞。這是意外行為，表明設(shè)備具有多個舊服務、 Shodan的無效CVE 檢測或蜜罐。

? 此外，發(fā)現(xiàn)的 CVE 的總體分布列于表 IV 中。施耐德電氣 BMX P34 系列的每個設(shè)備都容易受到集群 7 中 CVE 的影響。集群 7 中的 CVE 的 CVSS 3.1 得分為 7.5，但 CVE 2019?6808 除外，其 CVSS 3.1 得分為 9.8，因此至關(guān)重要.此 CVE 允許通過 Modbus 進行遠程代碼執(zhí)行 (RCE)。其他 CVE 的 CVSS 分數(shù)被認為很高。所有這些都可以通過 Modbus 協(xié)議進行利用，因此在公共網(wǎng)絡中找到它們是一個關(guān)鍵的安全問題。集群 7 中的其余 CVE 允許 DoS 或從設(shè)備泄漏敏感信息。 CVE?2017?6017 的 CVSS 3.1 分數(shù)為 7.5，被認為是高分。它僅適用于特定的設(shè)備列表和特定的固件版本。但是，共有 757 臺設(shè)備（占分析設(shè)備的 96.43%）易受攻擊。此 CVE 允許操作員 必須通過手動按下設(shè)備上的按鈕來重置 DoS 條件。 732 設(shè)備易受集群 2 中的 CVE 的影響。該集群包含三個 CVE，CVE?2018?7842、CVE?2018?7846 和 CVE?2018?7847，CVSS 3.1 得分為 9.8，被認為是關(guān)鍵。這些 CVE 允許代碼執(zhí)行導致未經(jīng)授權(quán)的訪問和特權(quán)提升，從而使攻擊者能夠直接影響系統(tǒng)。

? 此 CVE 允許在關(guān)聯(lián)的 Unity Pro 軟件中顯示不正確的信息。此集群中的所 有其他 CVE 的 CVSS 3.1 得分為 7.5，這被認為是高分。這些 CVE會創(chuàng)建 DoS 條件。 CVE?2018?7848 Detail 允許提取信息。在此場景中評估的攻擊類型描述了 RCE 攻擊、數(shù)據(jù)泄露和 DoS 攻擊。工業(yè)設(shè)備上的 RCE 允許攻擊者影響連接到 PLC 的 CPS。這意味著攻擊者可能會選擇濫用影響物理世界的 CPS。因此，可能會對材料和產(chǎn)品造成物理損壞以及傷害操作員。信息泄露可以為攻擊者提供商業(yè)機密，這些商業(yè)機密可能因金錢利益而被竊取。 DoS 可用于破壞通常高度依賴的連續(xù)生產(chǎn)環(huán)境，導致生產(chǎn)停止，這通常會導致巨大的金錢損失。

5.2 西門子 S7-300 系列

? Siemens Simatic S7?300 是 Siemens Simatic 產(chǎn)品系列的一部分。該系列是最流行的過程控制產(chǎn)品，其中 Simatic S7?300 是計算能力有限的低端設(shè)備。通過在Shodan數(shù)據(jù)庫中搜索滿足以下兩個條件的設(shè)備進行指紋識別：首先，S7 通信端口（TCP/102）在Shodan掃描時暴露于公網(wǎng)。其次，從該掃描中接收到的數(shù)據(jù)包含字符串PLC 名稱：SIMATIC 300，這表明收到了正確的 Simatic S7 產(chǎn)品系列標頭，并且包含該產(chǎn)品系列的字段指示 S7?300 設(shè)備。生成的Shodan查詢是端口：102 PLC 名稱：SIMATIC 300。有支持 S7 協(xié)議的已知蜜罐，例如 Conpot。在指紋識別過程的同時，已為 Simatic S7?300 系列確定了 16 個相關(guān)的 CVE。該組 CVE 是通過在 NIST 提供的 NVD 中搜索關(guān)鍵字 SIMATIC S7-300 獲得的。然后使用這組 CVE 編譯一組指紋，以識別適用于特定系統(tǒng)的漏洞子集。如下表所示。

? 可以看出，大多數(shù) CVE 都可以從Shodan數(shù)據(jù)庫接收的數(shù)據(jù)中提取指紋。 CVE?2016?8672是一個例外，因為無法確定 Simatic S7?300 是啟用Profinet 還是禁用 Profinet，因為 Profinet 通信和服務可能不會暴露在公網(wǎng)上。

? 該表顯示，大多數(shù) CVE 導致 DoS 條件，兩種允許信息泄露，一種允許提升 權(quán)限。之前提供的簽名總共對 439 臺設(shè)備進行了指紋識別。每個設(shè)備都有一 個唯一的 IP 地址。比較發(fā)現(xiàn)的 Simatic S7?300 設(shè)備的地理空間分布，德國和意大利各占約 16%。排名第三的國家是西班牙，擁有大約 7% 的已識別設(shè)備。有趣的是，漏洞的能力分布相當不同。漏洞發(fā)生的頻率只有三種：1)17 個中有 6 個發(fā)生率 >99%； 2) 三個概率為 80%； 3) 七個根本沒有發(fā)生。在 439 臺設(shè)備中，有 436 臺被確定具有至少一個 Siemens Simatic S7?300特定漏洞?？偣舶l(fā)現(xiàn)了 3660 個漏洞，每個設(shè)備的漏洞中位數(shù)被確定為 9。

可以看出，有和沒有 CVSS 加權(quán)的值之間沒有顯著差異。這是正常的行為，因為表 中顯示的相應 CVSS 值通常正好是 7.5 或類似值。由于存在更多可能導致系統(tǒng)漏洞的因素，例如不安全的配置，因此需要考慮另外兩個參數(shù)來收集更完整的整體安全狀態(tài)圖。首先，為每個識別的設(shè)備枚舉暴露給 Internet 的端口數(shù)，發(fā)現(xiàn)每個設(shè)備上的端口 102 都是打開的。后續(xù)端口的頻率是 80 (26%) 和 443 (22%)，這兩個端口分別由 IANA 為 HTTP和 HTTPS Web 提供服務標準化?；?Web 的應用程序通常用于管理系統(tǒng)或監(jiān)視當前狀態(tài)。暴露可能會導致妥協(xié)或信息泄露。緊隨其后的是端口 5900 (13%)、161 (9%) 和 5800 (7%)，端口 5800 和 5900 由 IANA 為 VNC 協(xié)議標準化，該協(xié)議提供對設(shè)備的遠程訪問。這種遠程訪問可能容易受到憑據(jù)猜測攻擊，從而導致整個系統(tǒng)受到威脅。另一個潛在的漏洞是暴露了通常用于 FTP 的端口 21 (6%)。 FTP 可用于上傳文件，例如Web shell 或其他后門，或者如果配置允許此類訪問，則可以下載潛在的敏感信息。為了進一步了解漏洞，使用了Shodan 的漏洞能力指紋。第一個有趣的觀察結(jié)果是， Shodan識別的 CVE 與表 V 中的簽名識別的 CVE 之間沒有重疊。因此，可以將兩個漏洞集結(jié)合起來評估整體安全性。比較絕對數(shù)字表明， Shodan能夠識別出34 臺設(shè)備，這些設(shè)備至少易受一個漏洞的影響?？偣泊_定了 779 個 CVE，其中 305 個是唯一的。奇怪的是，有一個設(shè)備被Shodan 識別為暴露了 152 個漏洞能力。

? 發(fā)現(xiàn)的 CVE 的總體分布如下圖所示。

該表顯示，可以在發(fā)現(xiàn)的所有易受攻擊的設(shè)備上利用 7 個 CVE。此外，7 個 CVE無法在任何設(shè)備上被利用，因此未列出。在七個 CVE 中，除了CVE?2016?9159 之外的所有 CVE 都創(chuàng)建了 DoS 情況。相比之下，CVE?2016?9159 允許攻擊者從設(shè)備中提取憑據(jù)。它的 CVSS 3.1 分數(shù)為 5.9，被認為是中等。其他所有 CVE 的 CVSS 3.1 得分為 7.5，這被認為是高分；除了 CVE?2015?2177。由于可以通過基于 Internet 的搜索引擎Shodan 找到它們，因此顯然可以從 Internet 訪問它們。同樣，如果攻擊者有權(quán)訪問網(wǎng)絡，則可以提取憑據(jù)。一般來說，最常見的漏洞對網(wǎng)絡環(huán)境有很大的影響。破壞過程環(huán)境會導致重大的金錢損失，使材料變得無用，從而損害組織?？梢园l(fā)現(xiàn)僅通過網(wǎng)絡訪問即可被利用的 CVE 的情況令人擔憂，因為最早的發(fā)現(xiàn)的是 2015 年。如前所述，蜜罐可能會扭曲結(jié)果，但是，所有結(jié)果不太可能都是蜜罐，因為它們在空間分布、服務運行等特征上的異質(zhì)性。

5.3 Omron CJ 和 CS PLC 系列

? Omron CJ 和 CS PLC 系列是用于過程控制的 Omron PLC 產(chǎn)品系列的一部分。其他 Omron PLC 產(chǎn)品組是 CV 系列、C200 系列、CVM1 和 CQM1H。選擇 Omron CJ 系列是因為初始掃描結(jié)果表明與Shodan數(shù)據(jù)庫中的其他 Omron 產(chǎn)品相比具有較高的流行率 (>30%) 。由于已識別的漏洞大多存在于 CJ 和 CS 系列中，因此 CS 系列也包括在內(nèi)。該系列通過在Shodan數(shù)據(jù)庫中搜索滿足以下三個條件的設(shè)備進行指紋識別：首先，專有工廠接口網(wǎng)絡服務 (FINS) 協(xié)議端口 (TCP/9600) 在Shodan掃描時暴露于公網(wǎng)。其次，從該掃描中接收到的數(shù)據(jù)包含字符串響應代碼。由于 Shodan 不支持以空格分隔的字符串的部分匹配，因此用于識別 Omron PLC 設(shè)備的 Shodan 查詢是 port:9600 響應代碼。 然后通過將控制器模型字段與字符串 CJ 和 CS 進行匹配，在本地應用第三個條件來過濾 CJ 和 CS 系列。通過這個過程，從Shodan數(shù)據(jù)庫中提取了一組相關(guān)設(shè)備。除了指紋識別過程之外，還確定了 30 個 Omron 產(chǎn)品的 CVE。與 Simatic 設(shè)備一樣，CVE 集是通過在 NIST 的NVD 中搜索關(guān)鍵字Omron 獲得的。大多數(shù) CVE 用于 Omron CX 產(chǎn)品線，其中包括用于對 Omron PLC 進行編程的設(shè)備。盡管受感染的編程設(shè)備是 合適的攻擊媒介，但本研究僅考慮直接影響 PLC 設(shè)備的 CVE。最后一組包含 2015 年至 2020 年間的 7 個 CVE。然后使用這組 CVE 編譯一組指紋，以識別適用于特定系統(tǒng)的漏洞子集。結(jié)果在下表給出。

? 可以看出，每個 CVE 都可以從Shodan數(shù)據(jù)庫接收的數(shù)據(jù)中提取指紋。這可以廣泛了解暴露于 Internet 的 Omron CJ 和 CS 系列 PLC 中普遍存在的漏洞。根據(jù)之前提供的簽名，總共對 1579 臺設(shè)備進行了指紋識別。每個設(shè)備都 有一個唯一的 IP 地址。比較歐姆龍 CJ 和 CS PLC 的地理空間分布發(fā)現(xiàn)，西班牙是其中約 25% 的原產(chǎn)地。排名第二和第三的國家是法國和加拿大，每個國家都擁有大約 10% 的已識別設(shè)備。比較這種分布，即具有已識別漏洞的設(shè)備的國家分布，可以觀察到前三個國家的情況相似。但是，當僅考慮具有 CVE 的設(shè)備時，西班牙的設(shè)備百分比降至 19%。這表明設(shè)備與平均年齡相比，西班牙的安全性稍好。七分之五的漏洞發(fā)生在所有被確定的Omron 產(chǎn)品的設(shè)備中的大約 63%。其余兩個漏洞的發(fā)生率明顯較低，約為設(shè)備的 15%。在 1579 臺設(shè)備中，有 1018 臺被確定為至少有一個Omron特有的漏洞?？偣舶l(fā)現(xiàn)了 5219 個漏洞，每個設(shè)備的漏洞中位數(shù)被確定為 5。在下表中，給出了結(jié)果的比較概述。

? 可以看出，有和沒有 CVSS 加權(quán)的值之間沒有顯著差異。這可能表明漏洞 在易受攻擊的設(shè)備和國家之間平均分布。第二個觀察結(jié)果是，前 10 個漏洞 占發(fā)現(xiàn)的漏洞總數(shù)的 80% 以上，因此遵循了權(quán)力分布。這是信息安全相關(guān)統(tǒng)計數(shù)據(jù)中的常見分布。為了補充對安全狀態(tài)的概述，還考慮了另 外兩個因素。首先，為每個識別的設(shè)備枚舉暴露給 Internet 的端口數(shù)。發(fā)現(xiàn)每個設(shè)備上的端口 9600 都是打開的。這被認為是對設(shè)備進行指紋識別的兩個條件之一，因為 Omron CJ 和 CS PLC 系列是端口 9600 的公開。后續(xù)端口在頻率方面是 80 (26%) 和 443 (18%)，兩者都是標準化的IANA 的Web 服務，即 HTTP 和 HTTPS?；?Web 的應用程序通常用于管理系統(tǒng)或監(jiān)視當前狀態(tài)。暴露可能會導致完全妥協(xié)或信息泄露的情況。排在第二位的是端口 21 (11%)，用于基于 FTP 的文件傳輸。將此端口暴露給 Internet 存在安全風險，因為它沒有加密和完整性保護。受損的 FTP 服務可能導致整個系統(tǒng)受損或信息泄露。此外，發(fā)現(xiàn)端口 5900 (11%) 和 22 (10%) 處于打開狀態(tài)。這些端口用于 VNC 和 SSH，它們都是遠程管理服務。擁有公開可用的管理服務可能是一種風險，因為在許多情況下，沒有使用或使用默認憑據(jù)來保護它們。此外，它們通常容易受到憑據(jù)猜測攻擊。端口 23 (6%) 也是一個主要的安全風險。 IANA 為 Telnet 標準化了端口 23。 Telnet 和 FTP 一樣，沒有任何加密或完整性保護，因此容易受到中間人情況的影響。受損的 Telnet 服務授予對系統(tǒng)的完全訪問權(quán)限。為了進一步分析 Omron CJ 和 CS PLC 系列的安全狀態(tài)，使用了Shodans漏洞能力指紋識別。

? 第一個有趣的觀察是Shodan識別的 CVE 與上表中的簽名識別的CVE 之間沒有重疊。因此，這兩個漏洞集可以結(jié)合起來評估整體安全性。比較絕對數(shù)字表明， Shodan能夠識別出 128 臺設(shè)備，這些設(shè)備至少易受一個漏洞的影響?？偣泊_定了 2213 個 CVE，其中 426 個是唯一的。奇怪的是，有一個設(shè)備被Shodan 識別為暴露了 121 個漏洞。平均而言，每臺設(shè)備有 1.4 個漏洞。此外，發(fā)現(xiàn)的 CVE 的總體分布列于下表中。

? 可以觀察到Omron CJ 和 CS PLC 系列的幾個值得注意的特征。首先，沒有 CVE 可以歸因于找到的整套設(shè)備。其次，與施耐德電氣 BMX P34 系列和西門子 S7?300 系列相比，歐姆龍CJ 和 CS PLC 系列不易受到 DoS 攻擊。相反，CVE 允許篡改、特權(quán)提升和信息泄露。尤其是篡改可能在 OT 環(huán)境中產(chǎn)生災難性后果，并最終導致人身傷害。 CVE?2019?18261 允許蠻力攻擊獲得對設(shè)備的訪問權(quán)限，從而擴大了攻擊者的影響范圍。 CVE?2019?18259 允許攻擊者欺騙消息或執(zhí)行任意命令，這意味著有權(quán)訪問網(wǎng)絡的攻擊者可以主動影響設(shè)備和所有連接的執(zhí)行器。 CVE?2019?13533 允許重放攻擊，使攻擊者能夠篡改物理環(huán)境，再次可能導致災難性后果。 CVE?2020?6986 可能導致 DoS 條件，中斷進程，而 CVE 2019?18269 使攻擊者能夠篡改軟件流中的鎖文件。

5.4 Rockwell Automation/Allen-Bradley MicroLogix 1400 系列

羅克韋爾自動化/Allen?Bradley MicroLogix 1400 系列包含六種不同的控制器和一個內(nèi)存模塊。在對系列進行指紋識別時， Shodan功能用于確保掃描的設(shè)備是羅克韋爾自動化的產(chǎn)品，并顯示以 1766 開頭的版本，用于MicroLogix 1400 系列。這種指紋識別方法的主要限制是它依賴于正確的產(chǎn) 品名稱和可用的版本號。但是，通過將預期服務引入搜索參數(shù)來規(guī)避此限制會產(chǎn)生太多誤報。查詢中缺少固件版本， Shodan 無法搜索到該版本。因此，預計會有更高的誤報率，因為固件升級可以緩解許多漏洞。相關(guān)的cve見下表。

? 羅克韋爾自動化/Allen?Bradley MicroLogix 1400 系列的查詢已于 2020 年 4 月 22 日啟動?？偣矊?1832 臺設(shè)備進行了指紋識別，每臺設(shè)備都有自己唯一的 IP 地址。大多數(shù)設(shè)備位于美國，占 65%，第二和第三位是加拿大和葡萄牙，各占 5%–6%。該結(jié)果與通過考慮每個國家/地區(qū)的供應商特定 CVE 來計 算暴露設(shè)備是一致的。由于并非所有漏洞都具有相同的嚴重性，因此表 XII 還 顯示了一個加權(quán)分數(shù)，該分數(shù)是 CVE 數(shù)量與其 CVSS 的乘積。加權(quán)排名幾乎 與按設(shè)備數(shù)量計算的未加權(quán)排名相同，但澳大利亞和挪威除外，它們在加權(quán)排名中的百分比略高。

? 如上表所示，CVE?2012?4690 不區(qū)分版本，這就是為什么所有 1831 個掃描設(shè)備都被標記為易受相應攻擊的原因。其他六個 CVE 被發(fā)現(xiàn)適合一半以上的掃描設(shè)備，百分比范圍從 53.09% 到 68.00%?？偣舶l(fā)現(xiàn)了9028個漏洞。每個設(shè)備發(fā)現(xiàn)的 CVE 最多為 7 個，這意味著所有供應商特定的 CVE 都存在。平均而言，每臺設(shè)備顯示 4.4 個漏洞。除了供應商特定的 CVE 之外，還有一組不同的Shodan CVE，其中 81 臺設(shè)備至少易受其中一個的影響。總共發(fā)現(xiàn)了 2151 個Shodan漏洞，平均每臺設(shè)備有 1.17 個漏洞

? 上表顯示了十個最常見的開放端口。到目前為止，發(fā)現(xiàn)的最常見服務是 EtherNet/IP，它在 PLC 中非常常見，也是MicroLogix 1400 PLC 的一個關(guān) 鍵特性，并且在每個掃描的設(shè)備中都可以找到。超過一半的掃描設(shè)備顯示HTTP 或 HTTPS 端口。有趣的是，11.47% 的掃描設(shè)備具有開放的點對點隧道協(xié)議 (PPTP) 端口，這可能意味著嚴重的安全問題，因為 PPTP 在加密和身份驗證方面存在根本缺陷。

上表通過顯示被標記為易受每個 CVE 影響的設(shè)備的絕對和相對數(shù)量，概述了供應商特定 CVE 的普遍性。CVE?2012?4690 在未啟用靜態(tài)狀態(tài)時發(fā)生，這會使系統(tǒng)面臨 DoS 攻擊，因為遠程攻擊者可以修改狀態(tài)位。 CVE 2012?4690 的嚴重性很高，CVSSv3為 7.5。接下來的五個漏洞同樣普遍，影響了 68% 的設(shè)備。 CVE?2017?7898 允許遠程暴力攻擊破解身份驗證。

? CVE?2017?7899 允許本地攻擊者通過讀取服務器日志來獲取身份驗證憑據(jù)，因為系統(tǒng)接受它們由 GET 請求發(fā)送。對于 9.8 的 CVSSv3，這也是一個嚴重漏洞。

? CVE?2017?7901 的嚴重性很高。它允許遠程攻擊者欺騙 TCP 連接或發(fā)起 DoS 攻擊，這是由于服務器 TCP 通信中的隨機初始序列號不夠隨機而成為可能的。

? CVE?2017?7902 會打開系統(tǒng)以重放攻擊，并且得分為嚴重。通常可以緩解 這種攻擊的隨機數(shù)被系統(tǒng)重用，當面對可以監(jiān)控網(wǎng)絡的攻擊者時，這會破壞它們的目的。

? 最后，攻擊者可以通過以太網(wǎng)或串行線互聯(lián)網(wǎng)協(xié)議 (SLIP) 發(fā)送格式錯誤的數(shù)據(jù)包來執(zhí)行 DoS 攻擊。

5.5 三菱Melsec Q系列

? 如上圖所示，三菱在 PLC 市場占有重要份額。三菱的PLC系列稱為Melsec系列。該系列的一個產(chǎn)品線 Melsec?Q 系列使用默認在 TCP 端口 5006 和 5007 上運行的專有服務協(xié)議。在撰寫本文時， Shodan僅列出了相對較少的 ses 設(shè)備，在 200 到 300 之間, 暴露在互聯(lián)網(wǎng)上。設(shè)備可以通過 TCP 端口和標語輕松識別，標明設(shè)備型號，字符串如CPU：Q03UDECPU表示相應型號。在 NIST 的 CVE 數(shù)據(jù)庫中查詢 Melsec 服務協(xié)議會產(chǎn)生 8 個 CVE。在這些結(jié)果中，只有四個受 CVE 影響的設(shè)備可以使用Shodan 進行查詢。由于Shodan上沒有列出各個設(shè)備的固件版本，因此無法確定設(shè)備是否已打補丁，因此三菱設(shè)備的調(diào)查誤報率應該很高。已考慮的 CVE 來自 2019 年和 2020 年。漏洞CVE?2019?10977 和 CVE?2016?8370 影響了 Shodan 無法檢測到的 Melsec?Q 以太網(wǎng)接口模塊，因此沒有考慮到這項工作。

? 針對 Mitsubishi Melsec 設(shè)備的Shodan查詢產(chǎn)生了 259 個結(jié)果，其中187 個是唯一 IP 地址。對開放的 UDP 端口 5006 和開放的 TCP 端口 5007 列出一次重復項。在此評估中，僅將唯一 IP 地址視為一個設(shè)備。 Melsec Q 設(shè)備最常出現(xiàn)在三菱的原產(chǎn)國日本，有 119 臺設(shè)備或 63.3%。其次是美國，有 15 臺設(shè)備，波蘭有 8 臺。在上表中考慮的 CVE 中，在日本的 119 臺設(shè)備中發(fā)現(xiàn)了 173 個漏洞，在美國的設(shè)備中發(fā)現(xiàn)了 30 個漏洞。目前尚不清楚這些漏 洞是否真的存在于設(shè)備的固件中，因為只有模型被指紋識別。對于這個評估，假設(shè)沒有設(shè)備被打補丁，這是最保守的假設(shè)。設(shè)備和 CVE 在各國的分布幾乎是均勻的。每臺設(shè)備的 CVE 平均值為 1.56，每臺設(shè)備的 CVE 中位數(shù)為 2.0。在下表中，提供了結(jié)果的概述。

? 用 CVSS 3 分數(shù)衡量 CVE 不會改變每個國家/地區(qū)的影響的相對分布，因為最常見漏洞的 CVSS 3 分數(shù)是相等的。由于僅在排名前五的國家/地區(qū)發(fā)現(xiàn)了超過五臺設(shè)備，因此排名前十的國家/地區(qū)占所有設(shè)備的 90.44%。必須在每個設(shè)備上打開 TCP 端口 5007 或 UDP 端口 5006，因為它們是搜索查詢的一部分。八十個 sis 設(shè)備打開了端口 80，IANA 為其分配了 HTTP 協(xié)議。此外，用于遠程終端的 Telnet 端口 23 (32.45%) 和用于文件傳輸?shù)膮f(xié)議 FTP 的端口 21 (28.72%) 經(jīng)常打開。 Telnet 和 FTP 都存在安全風險，因為它們不加密通信且不進行完整性檢查，因此允許中間人攻擊。很少發(fā)現(xiàn)端口 8080、9191、590、2332 和 5009 處于打開狀態(tài)。 Shodan漏洞分析發(fā)現(xiàn)了 10個CVE，其中沒有一個與表中確定的 CVE 重疊。 Shodan僅發(fā)現(xiàn)與九個設(shè) 備匹配的 CVE，這些設(shè)備大多位于波蘭、英國和法國。將Shodan結(jié)果與供應 商特定漏洞相結(jié)合，將波蘭設(shè)備上發(fā)現(xiàn)的漏洞能力從 15 個增加到 62 個。Shodan 總共確定了 114 個 CVE，其中 57 個是唯一的。請注意，許多位于日 本的 Melsec Q 設(shè)備都有一個分配給“信息和系統(tǒng)研究組織”的 IP 地址，并且可能故意暴露在 Internet 上以研究潛在的攻擊。

? 此外，發(fā)現(xiàn)的 CVE 的總體分布列于上表。如前所述，所有三個 CVE 都會 創(chuàng)建 DoS 條件，可用于破壞通常高度依賴的連續(xù)生產(chǎn)環(huán)境，從而導致生產(chǎn)停止。假設(shè) CVE?2020?5527 適用于所有 188 臺設(shè)備，CVE?2019?6535 適用于 52.13% 的設(shè)備，出現(xiàn) 98 次，CVE?2019?13555 適用于 7 臺設(shè)備。 CVE?2019?13555 要求 FTP 端口 21 開放和特定 CPU 類型，導致低分布。下表則顯示了所有設(shè)備在一組重要指標上的比較。

在這項工作中評估的整個集合中的絕對和相對設(shè)備數(shù)量表明，羅克韋爾自動化/Allen?Bradley MicroLogix 1400是分析中最常見的設(shè)備。值得注意的是， Omron CJ 和 CS PLC 系列的 CVE 和加權(quán) CVSS 的相對數(shù)量明顯低于所有設(shè)備。這表明與其他設(shè)備相比具有更高的安全狀態(tài)。同時，每臺設(shè)備的平均 CVSS 值在Omron CJ 和 CS PLC 系列中最高，表明漏洞很少但影響很大。相比之下，施耐德電氣 BMX P34和西門子 S7?300系列在 CVE 和 CVSS 中的分布明顯高于整體設(shè)備，表明這些設(shè)備上的漏洞越來越嚴重。關(guān)于安全目標，幾乎所有設(shè)備中的大多數(shù)都容易受到 DoS 攻擊。

六、討論

? 本節(jié)介紹了以定性方式討論的研究結(jié)果的含義。之后，引入蜜罐并將其與研究結(jié)果相關(guān)聯(lián)。

6.1 蜜罐

? 蜜罐是網(wǎng)絡中的計算機資源，僅用于模仿真實行為，從而吸引攻擊者。它們可以在任何環(huán)境中使用。因此，設(shè)計了為 ICS 量身定制的蜜罐，例如 Conpot 。ICS 蜜罐向攻擊者提供了所謂的工業(yè)系統(tǒng)的接口，例如水處理設(shè)施或發(fā)電廠。目的是不同的：首先，收集有關(guān)攻擊者的見解。攻擊者使用的憑據(jù)和命令以及工具和目標的指示可以提供有關(guān)攻擊者的動機和目標的洞察力。其次，它綁定了攻擊者的資源，因此無法用于攻擊真實系統(tǒng)，從而分散注意力。Shodan提供了一種啟發(fā)式方法來檢測蜜罐，但是，這在這項工作中并不適用。有些結(jié)果很可能是蜜罐。屬于日本研究機構(gòu)的 Mitsubishi 設(shè)備第 4節(jié)中介紹的設(shè)備很可能是研究蜜罐。由于這些設(shè)備提供了有效的指紋，因此它們可能是真實的，因為它是硬件，也用于生產(chǎn)環(huán)境，但未連接到過程環(huán)境。這些類型的蜜罐只能通過分析執(zhí)行器輸入和傳感器輸出的相關(guān)性來區(qū)分。

6.2 結(jié)論

? 上一章表明，首先，有大量的 OT 設(shè)備連接到 Internet，其次，大多數(shù)設(shè)備都容易受到至少一個已知漏洞的影響。其含義是，要么運營商將其設(shè)備連接到 Internet 以違反最佳運行方式，要么通常不采用最佳安全措施，要么修補和更新 OT 設(shè)備在實踐中太困難而無法實施。 OT 設(shè)備的特點包括大面積的運維分布、持續(xù)運行且?guī)缀鯖]有時間進行維護以及運行長達幾十年的時間，導致遺留系統(tǒng)。由于這些特征，更新和補丁管理在 OT 環(huán)境中是困難的，這是合理的。參考過去事件對 OT 環(huán)境的威脅。此外，影響范圍從由于攻擊者的影響力和知識有限而導致的低影響，到對機器和產(chǎn)品的重大損害以及對人類生命的威脅。STRIDE 方法的所有相關(guān)攻擊者目標都可以通過 CVE 實現(xiàn)。

? CVSS 嚴重性等級表示在成功攻擊的情況下對網(wǎng)絡環(huán)境的預期影響程度。烏克蘭停電或伊朗核加工廠被毀，都顯示出破壞力。如第一節(jié)所述，網(wǎng)絡攻擊對 OT 域的影響不僅限于數(shù)字域，還可以影響物理域。這種特性與大的攻擊面相結(jié)合，構(gòu)成了嚴重的危險。出于道德和法律原因，無法嘗試利用漏洞，因此未評估已識別的漏洞是否可利用。一般來說，網(wǎng)絡安全沒有靈丹妙藥。需要應用最佳實踐，即使這樣，也可以發(fā)現(xiàn)和利用漏洞。與家庭和辦公室運營商類似，對 OT 運營商的一組建議是：

1） 使用網(wǎng)絡分段。在 OT 網(wǎng)絡的情況下，它們應該與 IT 網(wǎng)絡分開，特別是與帶有防火墻和非軍事區(qū) (DMZ) 的公共互聯(lián)網(wǎng)分開。這些都是行之有效的、易于實施的解決方案，而且還有很長的路要走。

2）停用未使用的服務。這會導致攻擊面減小。

3）激活 ICS 中可用的安全屬性，以在攻擊者獲得網(wǎng)絡訪問權(quán)限后使欺騙變得更加困難。

4）實施身份和訪問管理（IAM）方案，以限制攻擊者的能力。

? 考慮到這些建議將大大減少威脅。此外，OT 設(shè)備供應商應遵守 IT 開發(fā)中建立的安全實踐。補丁管理、安全設(shè)計和安全功能作為核心概念應該默認在設(shè)備中實現(xiàn)。地理空間分析旨在揭示某些地區(qū)網(wǎng)絡安全對 OT 的重要性的見解。

? 很明顯，歐洲或北美等較富裕的國家會更加重視安全。 然而，所有設(shè)備的大多數(shù)漏洞都是在歐洲和美國發(fā)現(xiàn)的，這表明在 OT 安全方面仍然存在挑戰(zhàn)。 此外，立法與安全狀態(tài)之間的相關(guān)性可以在以后的工作中得出。

七、結(jié)論

? 這項工作旨在對 ICS 設(shè)備中可能被互聯(lián)網(wǎng)利用的漏洞進行基于 OSINT 的偵察?？偣舶l(fā)現(xiàn)了超過 13000 個特定設(shè)備或設(shè)備類別，其中幾乎每個設(shè)備都可能受到至少一個 CVE 的攻擊。盡管需要手動操作，但識別設(shè)備的過程非常簡單。需要注意的是，生產(chǎn)設(shè)備的供應商在這種操作情況下并不是特別容易受到網(wǎng)絡攻擊的影響。之所以選擇它們，是因為可以找到要分析的大量設(shè)備。預計其他供應商將面臨與本文分析的供應商相同的安全問題。在這項工作的過程中，沒有評估發(fā)現(xiàn)漏洞的可利用性，因此無法提供關(guān)于具體影響的結(jié)論。盡管如此，這仍然可以輕松訪問具有惡意意圖的攻擊者。此外，成功利用的潛在影響可以來自各個 CVE 實現(xiàn)的攻擊者目標。

? 到目前為止，僅在確認惡意活動之后才觀察到嚴重后果，這些活動被認為是由犯罪分子的專業(yè)團體或國家資助的行為者實施的。此外，將 CVE 歸因于STRIDE 特征顯示了攻擊可能對工業(yè)環(huán)境產(chǎn)生的潛在影響。通常，DoS 攻擊是最常發(fā)生的攻擊。由于生產(chǎn)環(huán)境中的設(shè)備嚴重依賴所有實體的可用性，因此中斷可用性會對流程產(chǎn)生巨大影響，包括資金損失以及材料的損壞和變質(zhì)。由于很難將攻擊歸因于攻擊者，所以無法確定攻擊者，除非他們被執(zhí)法部門抓獲。應該注意的是，所分析的設(shè)備并不是 IIoT 環(huán)境的特定部分。但是，IIoT 設(shè)備將采用相同的基礎(chǔ)設(shè)施，最后，實施強大的網(wǎng)絡安全解決方案是安全的 IIoT 環(huán)境的先決條件。盡管如此，潛在的攻擊面仍然很大，預期的影響也很嚴重。工業(yè)企業(yè)必須更加關(guān)注 ICS 和 OT 設(shè)備的安全性，以防止進一步的成功攻擊以及對現(xiàn)實世界領(lǐng)域的后續(xù)影響。文章來源地址http://www.zghlxwxcb.cn/news/detail-445984.html

八、參考

[1] V. M. Igure, S. A. Laughter, and R. D. Williams, “Security issues in SCADA networks,” Comput. Secur., vol. 25, no. 7, pp. 498–506, 2006.
[2] EtherCAT Technology Group. EtherCAT–The Ethernet Fieldbus. 1991.[Online]. Available: https://www.ethercat.org/default.htm
[3] MODICON Inc. 1996. [Online]. Available:http://www.modbus.org/docs/PI_MBUS_300.pdf
[4] Modbus-IDA. Modbus Messaging on TCP/IP Implementation Guide v1.0b. 2006. [Online]. Available:http://www.modbus.org/docs/Modbus_Messaging_Implementation_Guide_V1_0b.pdf
[5] S. D. Anton, D. Fraunholz, C. Lipps, F. Pohl, M. Zimmermann, and H. D. Schotten, “Two decades of SCADA exploitation: A brief history,” in Proc. IEEE Conf. Appl. Inf. Netw. Secur. (AINS), Nov. 2017,pp. 98–104.
[6] K. Dorofeev, H. Walzel, and R. C. Sofia, “Brownfield devices in IIoT,” fortiss GmbH, Munich, Germany, Tech. Rep. 1, Jan. 2021.[Online]. Available: https://www.fortiss.org/fileadmin/user_upload/Veroeffentlichungen/Informationsmaterialien/fortiss_whitepaper_Brownfield_devices_in_IIoT_web.pdf
[7] M. Gundall and H. D. Schotten, “Computation offloading at field level:Motivation and break-even point calculation,” in Proc. 17th IEEE Int.Conf. Factory Commun. Syst. (WFCS), vol. 1, 2021.
[8] S. D. Anton, M. Gundall, D. Fraunholz, and H. D. Schotten,“Implementing SCADA scenarios and introducing attacks to obtain training data for intrusion detection methods,” in Proc. ICCWS 14th Int. Conf. Cyber Warfare Secur., 2019, p. 56.
[9] S. Abe, M. Fujimoto, S. Horata, Y. Uchida, and T. Mitsunaga, “Security threats of internet-reachable ICS,” in Proc. 55th Annu. Conf. Soc.Instrum. Control Eng. Japan (SICE), 2016, pp. 750–755.
[10] Lockheed Martin. Cyber Kill Chain. 2014. [Online]. Available: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[11] R. Langner, “To kill a centrifuge,” Langner Group, Norderstedt,Germany, Tech. Rep., Nov. 2013.
[12] B. Parmar, “Protecting against spear-phishing,” Comput. Fraud Secur., vol. 2012, no. 1, pp. 8–11, 2012. [Online]. Available: https://doi.org/10.1016/S1361-3723(12)70007-6
[13] Open Web Application Security Project. OWASP Top Ten. 2020.[Online]. Available: https://owasp.org/www-project-top-ten/
[14] A. Di Pinto, Y. Dragoni, and A. Carcano, “Triton: The first ICS cyber attack on safety instrument systems,” in Proc. Black Hat USA, 2018,pp. 1–26.
[15] A. Cherepanov and R. Lipovsky, “BlackEnergy–what we really know about the notorious cyber attacks,” in Proc. Int. Virus Bulletin Conf., Oct. 2016.
[16] Shodan. The Seach Engine for the Internet of Things. 2020. [Online].Available: https://www.shodan.io/
[17] nmap. 2020. [Online]. Available: Unified Architecture. https://nmap.org/
[18] D. Gonzalez, F. Alhenaki, and M. Mirakhorli, “Architectural security weaknesses in industrial control systems (ICS) an empirical study based on disclosed software vulnerabilities,” in Proc. IEEE Int. Conf. Softw.Architect. (ICSA), 2019, pp. 31–40.
[19] R. J. Thomas and T. Chothia, “Learning from vulnerabilitiescategorising, understanding and detecting weaknesses in industrial control systems,” in Computer Security. Cham, Switzerland: Springer, 2020, pp. 100–116.
[20] W. Knowles, D. Prince, D. Hutchison, J. F. P. Disso, and K. Jones, “Asurvey of cyber security management in industrial control systems,” Int.J. Crit. Infrastruct. Protect., vol. 9, pp. 52–80, Jun. 2015.
[21] D. T. Sullivan, “Survey of malware threats and recommendations to improve cybersecurity for industrial control systems version 1.0,” Raytheon Company, Waltham, MA, USA, Tech. Rep. ADA617910, 2015.
[22] D. Ding, Q.-L. Han, Y. Xiang, X. Ge, and X.-M. Zhang, “A survey on security control and attack detection for industrial cyber-physical systems,” Neurocomputing, vol. 275, pp. 1674–1683, Jan. 2018.
[23] A. Humayed, J. Lin, F. Li, and B. Luo, “Cyber-physical systems security–A survey,” IEEE Internet Things J., vol. 4, no. 6, pp. 1802–1831, Dec. 2017.
[24] S. McLaughlin et al., “The cybersecurity landscape in industrial control systems,” Proc. IEEE, vol. 104, no. 5, pp. 1039–1057, May 2016.
[25] H. Holm, M. Karresand, A. Vidstr?m, and E. Westring, “A survey of industrial control system testbeds,” in Proc. Nordic Conf. Secure IT Syst., 2015, pp. 11–26.
[26] M. Luallen, “Breaches on the rise in control systems: A sans survey,” Retrieved Feb., vol. 24, Apr. 2014, Art. no. 2015.
[27] A. P. Mathur and N. O. Tippenhauer, “SWaT: A water treatment testbed for research and training on ICS security,” in Proc. Int. Workshop CyberPhys. Syst. Smart Water Netw. (CySWater), 2016, pp. 31–36.
[28] J. Gardiner, B. Craggs, B. Green, and A. Rashid, “Oops i did it again: Further adventures in the land of ICS security testbeds,” in Proc. ACM Workshop Cyber-Phys. Syst. Secur. Privacy, 2019, pp. 75–86.
[29] H. Gao, Y. Peng, K. Jia, Z. Dai, and T. Wang, “The design of ICS testbed based on emulation, physical, and simulation (EPS-ICS testbed),” in Proc. 9th Int. Conf. Intell. Inf. Hiding Multimedia Signal Process., 2013, pp. 420–423.
[30] A. Hahn et al., “Development of the powercyber SCADA security testbed,” in Proc. 6th Annu. Workshop Cyber Secur. Inf. Intell. Res., 2010, p. 21.
[31] F. Skopik, Z. Ma, T. Bleier, and H. Grüneis, “A survey on threats and vulnerabilities in smart metering infrastructures,” Int. J. Smart Grid Clean Energy, vol. 1, no. 1, pp. 22–28, 2012.
[32] S. Plósz, A. Farshad, M. Tauber, C. M. Lesjak, T. Ruprechter, and N. Pereira, “Security vulnerabilities and risks in industrial usage of wireless communication,” in Proc. IEEE Emerg. Technol. Factory Autom. (ETFA), 2014, pp. 1–8.
[33] B. Reaves and T. Morris, “Analysis and mitigation of vulnerabilities in short-range wireless communications for industrial control systems,” Int. J. Crit. Infrastruct. Protect., vol. 5, nos. 3–4, pp. 154–174, 2012.
[34] O. Andreeva et al., “Industrial control systems vulnerabilities statistics,” Kaspersky Lab, Moscow, Russia, Tech. Rep., 2016.
[35] “ICS vulnerabilities: 2018 in review,” Positive Technol? Seoul, South Korea, Tech. Rep., 2019.
[36] C. S. S. Program, “Common cybersecurity vulnerabilities in industrial control systems,” Nat. Cyber Secur. Div., Washington, DC, USA, Tech. Rep., 2010.
[37] National Vulnerability Database, NIST Inf. Technol. Lab., Boulder, CO, USA, 2020. [Online]. Available: https://nvd.nist.gov/
[38] L. Kohnfelder and P. Gard, “The threats to our products,” Microsoft, Redmond, WA, USA, Tech. Rep., Apr. 1999. [Online]. Available: https://adam.shostack.org/microsoft/The-Threats-To-Our-Products.docx
[39] T. Dawson, “Who were the leading vendors of industrial controls in 2017?” Interact Anal., Austin, TX, USA, 2017. [Online]. Available: https://www.interactanalysis.com/who-were-the-leading-vendors-of-indu
strial-controls-plcs-and-dcs-in-2017/
[40] Statista. (2017). Global PLC Market Share As of 2017, by Manufacturer. [Online]. Available: https://www.statista.com/statistics/897201/globalplc-market-share-by-manufacturer/#:～:text=Programmable
[41] M. Intelligence. (2020). Programmable Logic Controller (PLC) Market - Growth, Trends, Covid-19 Impact, and Forecasts (2021- 2026). [Online]. Available: https://www.mordorintelligence.com/industry-reports/programmable-logic-controller-plc-market
[42] C. P. Newswire. (2020). Global Programmable Logic Controller (PLC) Markets, 2025: A Covid-19 Revised Outlook On the Industry.[Online]. Available: https://www.prnewswire.com/news-releases/globalprogrammable logic-controller-plc-markets-2025-a-covid-19-revised-outlook-on-the-industry-301096075.html
[43] Schneider Electric. Life Is On. 2020. [Online]. Available: https://www.se.com
[44] D. Fraunholz, D. Krohmer, S. Duque Anton, and H. D. Schotten, “Investigation of cyber crime conducted by abusing weak or default passwords with a medium interaction honeypot,” in Proc. Int. Conf. Cyber Secur. Protect. Digit. Services, 2017, pp. 1–7.
[45] D. Fraunholz, M. Zimmermann, S. Duque Anton, J. Schneider, and H. D. Schotten, “Distributed and highly-scalable wan network attack sensing and sophisticated analysing framework based on honeypot technology,” in Proc. Int. Conf. Cloud Comput. Data Sci. Eng., vol. 7, 2017, pp. 416–421.
[46] P. Cichonski, D. Waltermire, and K. Scarfone, “Common platform enumeration: Dictionary specification version 2.3,” Inf. Technol. Lab., Nat.Inst. Stand. Technol., Gaithersburg, MD, USA, Tech. Rep. 7697, 2011.
[47] F. Zhang, S. Zhou, Z. Qin, and J. Liu, “Honeypot: A supplemented active defense system for network security,” in Proc. 4th Int. Conf. Parallel Distrib. Comput. Appl. Technol., 2003, pp. 231–235.
[48] Conpot. ICS/SCADA Honeypot. 2020. [Online]. Available: http://conpot.org/
[49] ó. Navarro, S. A. J. Balbastre, and S. Beyer, “Gathering intelligence through realistic industrial control system honeypots,” in Proc. Int. Conf. Crit. Inf. Infrastruct. Secur., 2018, pp. 143–153.
[50] D. Fraunholz, S. Duque Anton, and H. D. Schotten, “Introducing GAMfIS: A generic attacker model for information security,” Proc. Int.Conf. Softw. Telecommun. Comput. Netw., vol. 25, 2017, pp. 1–6.
[51] D. Fraunholz, D. Krohmer, S. Duque Anton, and H. D. Schotten, “Yaas–On the attribution of honeypot data,” Int. J. Cyber Situation. Awareness,vol. 2, no. 1, pp. 31–48, 2017.

到了這里，關(guān)于工控系統(tǒng)的全球安全現(xiàn)狀：全球漏洞實例分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！