施耐德電氣的Modicon可編程邏輯控制器(PLC)存在一個高危漏洞，可以繞過認證機制，讓攻擊者完全控制目標設備。

　　該漏洞被追蹤為CVE-2021-22779，并被命名為ModiPwn，是由企業物聯網安全公司Armis的研究人員發現的。它可能被具有對目標PLC的網絡訪問權的未經身份驗證的攻擊者利用。

　　MODICON系列 PLC高危漏洞可被攻擊者用來發動多種攻擊

　　Armis演示的攻擊鏈還涉及過去幾年發現的其他幾個漏洞。這些舊問題——它們被追蹤為CVE-2018-7852、CVE-2019-6829和CVE-2020-7537——與施耐德的UMAS（統一消息應用服務）協議有關，該協議用于配置和監控這家工業巨頭的PLC。

　　根據Armis的說法，UMAS通過Modbus工業通信協議運行，該協議“缺乏加密和適當的認證機制”。施耐德表示，過去一直計劃采用Modbus安全協議，但在更安全的協議版本被廣泛采用之前，舊版本將繼續構成與安全相關的風險。

　　Armis的研究人員發現，與未文檔化的UMAS命令有關的老漏洞實際上可以被用于遠程代碼執行和信息泄露，而不僅僅是施耐德最初聲稱的DoS攻擊。

　　供應商通過添加認證機制修補了這些舊的缺陷，該機制應該可以防止它們被濫用。然而，Armis發現的新的ModiPwn漏洞可以被利用來繞過這種身份驗證機制。

　　攻擊者可以利用ModiPwn漏洞繞過身份驗證，然后利用未記錄的命令——基本上是較老的漏洞——執行各種操作。

　　黑客可以使用這種方法“接管PLC，并在設備上獲得本機代碼執行，可以用來改變PLC的操作，同時對管理PLC的工程工作站隱藏這些改變?！?/p>

　　“針對工業控制器的惡意軟件已經在野外被發現，例如Triton惡意軟件，它針對的是來自SE的Triconex安全控制器。這個惡意軟件是一個運行在工業控制器上的惡意軟件，可以通過獲得本機代碼執行來實現的潛在破壞性的例子。這個最新的漏洞顯示了攻擊者在類似的控制器上獲得本機代碼執行的潛力。

　　ModiPwn漏洞最初于2020年11月中旬報告給施耐德電氣。該供應商當地時間7月13日發布了一份安全建議，為這個漏洞提供緩解措施，但一個補丁尚未發布。Modicon M580和M340 PLC將會受到影響。

　　攻擊步驟如下：

　　使用CVE-2021-22779繞過認證，預留PLC

　　上傳一個沒有配置應用程序口令的新項目文件

　　釋放PLC預留，斷開與設備的連接

　　用基本預約方式重新連接PLC，不需要口令認證

　　Armis公司和施耐德分別給出了的緩解措施和安全建議

　　Armis強烈建議使用施耐德電氣的Modicon PLC安全配置指南，例如在項目文件中使用口令驗證，正確使用網絡隔離，實現訪問控制列表，以保護工業控制器免受不必要的通信和攻擊。

　　該研究強調了第三方解決方案的重要性，能夠監控設備，識別風險，并防止攻擊脆弱的工業控制器。

　　Armis操作技術（OT）平臺支持識別和監控OT設備風險的高級功能。這包括檢測脆弱的PLC、ICS協議中的異常、檢測可能破壞未加密ICS協議安全性的中間人攻擊，以及識別主動的利用嘗試。

　　Armis平臺還支持廣泛的集成，這些集成可以幫助組織執行安全策略——例如，根據嚴格的普渡級OT設備識別應該使用的正確邊界，并通過與網絡基礎設施解決方案的集成配置這些邊界。

　　“施耐德電氣致力于公開和透明的合作，”施耐德電氣發言人托馬斯·艾克（Thomas Eck）在一份聲明中寫道。公司鼓勵客戶遵循公司發布的緩解指導意見。

　　認證和加密是ICS環境下的老大難問題

　　工業控制系統（ICS），即工業過程的操作生態系統，已經成為勒索軟件團伙和其他網絡罪犯以及國家黑客日益流行的目標。2017年，一種名為Trisis或Triton的惡意軟件破壞了沙特阿拉伯的一家石化工廠。惡意軟件被設計用來滲透施耐德電氣的安全儀器系統。

　　專家們說，施耐德控制器的脆弱性表明了一個更廣泛的行業問題。工業環境中的許多遺留系統在設計時并沒有使用加密協議，而加密協議是保護數據的最強形式之一。

　　該漏洞可用于部署各種攻擊，從啟動勒索軟件到修改命令到機械?！斑@是一個非常廣泛的范圍”，Armis公司研究副總裁本。斯里（Ben.Seri）表示?！八_實觸及了民族國家和這種規模的復雜攻擊的一端，但它也可能只是勒索軟件攻擊者的下一個合乎邏輯的步驟。

　　”施耐德和其他制造商很難為這些可編程邏輯控制器創建安全保護，因為他們使用的底層協議沒有加密或認證，斯里說“

　　他補充說：”無論他們在此基礎上添加什么，試圖模擬安全通信結果在各種方面都達不到要求，因為底層協議并不安全?！?/p>

　　IT安全公司Scythe的首席執行官布萊森·伯特（Bryson Bort）表示，盡管漏洞很嚴重，但施耐德電氣遠非唯一一家面臨未加密系統風險的制造商。

　　”整個行業面臨的挑戰是，加密和認證不是操作技術設備的標準，“他說。

　　但斯里說，施耐德電氣的PLC是說明加密為何重要的最好例子。

　　”他們試圖使用其他身份驗證，但如果沒有適當的加密，幾乎不可能做到，“斯里說?！蔽掖_實認為這是一個長期的問題。這個領域必須有需求，這是一個要求，這是我們應該努力去做的事情?！?/p>

　　認證和加密技術是拜登政府對聯邦政府使用的軟件進行改革的行政命令的核心。美國能源部（Energy Department）也敦促電力行業采取類似行動，以加強其網絡安全防御，但這一努力在很大程度上是電力行業自愿的。

　　徹底解決老大難問題遙遙無期

　　Bort和Seri都表示，由于時間和過程的復雜性，行業在加密環境方面一直進展緩慢。

　　正如上面的深入技術探討，很明顯，UMAS和Modbus的底層設計缺陷目前仍未得到修復。雖然正在嘗試加強對某些命令的訪問，但這些設計缺陷給開發人員帶來了重大挑戰——這可能會在未來導致更多的漏洞。

　　除了上面詳細介紹的兩個CVE（它們允許完全繞過增強的保留機制）之外，ARMIS還能夠識別出另外兩個暫時尚未修復的攻擊場景。

　　1、Man-on-the-Side認證繞過

　　如上所述，當成功預訂發生時，PLC將返回一個1字節的令牌。這個令牌稍后會在所有需要預留的命令中使用。如果攻擊者已經駐留在一個網絡內，以這樣一種方式，某些工程工作站和PLC之間的數據包被他（他可以用那個位置）注入一個TCP RST包到PLC，它將斷開工作站和PLC之間的Modbus TCP連接。PLC將保留保留令牌的狀態，以便在幾秒鐘內重用。如果在這個時間范圍內攻擊者連接到PLC，他可以重用令牌，而不需要重新驗證。這可以通過使用觀察到的令牌（在人站的場景中）或簡單地強制255個可能的值（PLC將拒絕錯誤的令牌，并且在多次嘗試時不會重置令牌）來實現。

　　盡管這種攻擊場景可以一定程度上減輕使用更長的道理，或企圖拒絕暴力事件，潛在的威脅再次預約機制缺乏加密允許man-on-the-side攻擊者獲取信息，可用于繞過身份驗證機制。

　　2、中間人身份驗證繞過

　　不幸的是，更直接的攻擊，也很容易實施——是中間人攻擊。例如，使用ARP欺騙，攻擊者可以在工程工作站和Modicon PLC之間設置一個中間人。

　　利用這個位置，攻擊者可以從工作站伏擊預訂嘗試，并獲取合法用戶使用的憑證和\或令牌。雖然在預訂機制的當前設計中，口令哈希是通過MemoryBlockRead命令不加密傳遞的，但預計該命令在未來將不會使用，口令哈希將不會通過UMAS\Modbus連接以明文方式傳遞。然而，由于目前還沒有為協議來檢測一個中間人攻擊，只是身份驗證數據包轉發到PLC將讓他獲得預訂比濫用令牌，他可以運行任何非法命令可以用來改變PLC配置，或觸發命令，可能會導致遠端控制設備。

　　再次，修復這個MiTM認證旁路需要在工程工作站和PLC之間建立一個安全連接——既能加密通信，又能驗證雙方，驗證連接沒有通過MiTM。

　　雖然目前端點中的安全通信被認為是一個已解決的問題，但以類似的方式解決它給工業控制器提出了一個挑戰。在傳統端點中，使用證書對服務進行身份驗證，并以安全的方式定義信任的根。在工業控制器中，不存在允許驗證證書的用戶界面，而且缺乏Internet連接（設計上的）防止使用CA（證書頒發機構）。在沒有這些手段的情況下創建安全通信需要對控制器的物理訪問，通過這些控制器，密鑰可以與外部網絡交換。這將給部署帶來挑戰，而且制造商和供應商似乎還沒有準備好采取這一步。

　　不幸的是，如果沒有這種對Modicon PLC通信方式的基本修復，上述詳述的安全風險暫時仍與這些控制器有關。