工控系統安全的NDay漏洞比0Day漏洞威脅更大 設備打補丁很麻煩

在涉及 網絡安全威脅 時， 0Day攻擊 往往會成為焦點，但它實際上是已知的漏洞，而NDay漏洞對許多組織，尤其是工業部門的組織來說是一個更大的問題，一方面 Nday漏洞在大型 關鍵基礎設施 中大量存在，另一方面受限於 技術複雜性和行動緩慢的供應鏈限制，打補丁是個相當麻煩的事情。

Nday漏洞在大型關鍵基礎設施中大量存在

儘管 0Day漏洞 是軟體開發商或硬體製造商未知的一類漏洞，但NDay漏洞是一個已公開的漏洞，可能有或沒有可用的安全補丁。

目前存在著無數已知的漏洞，許多大型商業和政府實體，會發現它們在廣泛的網絡覆蓋範圍內有重大的風險。

然而，對於那些依賴工業控制系統（ICS）的組織來說，如能源、製造業和基礎設施部門，這個問題更為嚴重。

這是因為ICS設備可能非常難以更新和修補。

更糟糕的是，ICS固件通常是在內置安全控制不足的情況下開發的，產品製造商可能很難修復新發現的漏洞和威脅。

一年多來，我們的團隊分析了廣泛使用的ICS設備的固件中的未修復N日漏洞，以便更好地理解問題。

其中一些發現 最近 在邁阿密舉行的S4x18安全會議上提出。

我們發現NDay漏洞在ICS環境中非常普遍。

幾乎所有閱讀這篇文章的運營商都可能在他們的系統中擁有大量的NDay漏洞。

推薦閱讀：

2018年1月， 2018工控安全發展趨勢 8個方向直擊工業控制系統要害 ，PV 8727

2017年9月， 蜻蜓組織正在攻擊多國能源行業 能控制運營系統計算機且更為隱蔽 ，PV 7877

2017年6月， 【下載】Industroyer工控惡意軟體分析及防護方案 分析表明作者熟知4種工控協議 ，PV 5149

NDay漏洞 vs. 0Day漏洞

Nday漏洞是攻擊者的金礦，因為艱苦的工作已經完成。

在某些情況下，積極的行為可能已經存在，並可以從公開披露文件中隨時獲得。

將其與0Day相比較，發現和利用費時費錢，這是他們在犯罪團伙中使用率下降的原因。

雖然NDay對任何大型網絡構成威脅，但由於工業環境特有的特定情況，期所面臨的風險特別高：

1. 系統必須始終可用。
   
   

2. 沒有標準化。
   
   例如，與標準計算環境相反，在ICS中修補通常是手動特有的過程，需要每個供應商都有獨特的軟體和知識。
   
   

3. 修補程序很少在使用共享代碼的供應商之間傳播。
   
   這突出顯示了我們在S4中列出的一個例子，其中 向電信行業的供應商報告 了漏洞，由軟體供應商（英特爾/ Windriver）進行了修補，但補丁並未被ICS中的其他大型供應商應用。
   
   

4. 延長壽命。
   
   系統通常在現場部署超過十年，並且已經過了支持期。
   
   希望銷售新產品的供應商，通常會抑制常規修補和舊產品的安全更新，哪怕是這些產品仍然在現場大量存在。
   
   

讓我們看看幾個真實的案例 來說明下風險

業界已經看到了多起利用ICS設備和協議中的NDay漏洞，針對工業目標發起的攻擊。

一些例子包括：

• CrashOverride 或 Industroyer ：這個惡意軟體在2016年12月的一次襲擊中被使用， 這次攻擊擾亂了烏克蘭電力變電站的運營。
  
  它 利用西門子SIPROTEC繼電器已知的 DoS漏洞 CVE-2015-5374 。
  
  

• TRITON 或 HatMan：該ICS工控惡意軟體於2017年發現，目 標是施耐德電氣的Triconex安全儀表系統（SIS）控制器的緊急關閉功能。
  
  

• BlackEnergy ：該惡意軟體包含針對特定類型HMI應用程式的漏洞攻擊，包括西門子SIMATIC、GE CIMPLICITY和Advantech WebAccess。
  
  

高風險漏洞

我們在ICS固件中發現的很多NDay都非常關鍵，可能會讓黑客獲得對工業廠商網絡或設施部分的遠程訪問權限和全面控制權。

這些NDay 可能讓攻擊者更容易地複製CrashOverride、TRITON、BlackEnergy甚至 Stuxnet 的效果，並且規模更大。

例如，在我們研究VxWorks 5.5.1漏洞（上面討論過）的研究中，我們發現每個主要製造商都有一個產品在這N天內仍然沒有進行修補。

這個漏洞在任何情況下都不是針對單個ICS工控產品列出的，因此供應商可能不知道存在這些漏洞。

這些漏洞可用於惡意目的，如操縱設置和控制，物理破壞或破壞設備，中斷關鍵操作以及竊取敏感信息。

由於我們發現的大量漏洞以及ICS工控系統補丁的交付周期（以及較低的補丁滲透率），我們決定不公開針對指定設備的單個漏洞，以免設備操作人員無法響應。

修補不是辦法 需要從源頭抓起

ICS工控NDay漏洞不是一個容易解決的問題。

解決方案受到技術複雜性和行動緩慢的供應鏈的限制。

儘管如此，業界可以做很多事情來解決這個問題。

首先，修補已知漏洞的當前被動方法已不再成立。

ICS環境的每個組件需要從一開始就具有強大的安全性，包括軟體、固件和硬體，以降低NDay漏洞和其他問題的總體風險，並減輕或防止其開發造成的損害。

最好的解決方案將結合入侵檢測和緩解技術，在不依賴連續更新的情況下防止已知和未知的攻擊。

總的來說，這些功能並不存在，所以製造商有義務儘快開發或採購這種技術。