新的工业控制系统安全漏洞

文章重点

• 发现三个针对自动化工业控制器和流行编程软件的新安全漏洞。
• 这些漏洞影响主要来自德国的两家供应商：Festo和CODESYS。
• 行业对于作业技术和关键基础设施安全的重视逐渐上升。

2022年11月28日，在休斯顿附近的加雷纳公园，东水净化厂的情况。最新研究表明，有三个新的安全漏洞使得自动化工业控制器和用于编程关键基础设施中数百万智能设备的软件可以受到攻击。（照片来源：BrandonBell/Getty Images）

编辑的备注（2022年11月30日）：这个故事已更新，包括来自Festo产品安全事件响应团队副负责人Aleg Vilinski的额外资讯和引用。

来自VedereLabs的研究人员披露了三个新的安全漏洞，这些漏洞可以被用来攻击自动化工业控制器和该公司一款流行的编程软件，后者被用于关键基础设施中的数百万智能设备。

这些漏洞（标识代码为、和）允许逻辑操控和拒绝服务，主要影响来自两家德国主要供应商的产品：Festo的自动化控制器和CODESYS运行时，该应用程序使开发人员能够编程智能设备，根据VedereLabs的说法，该软件“被数百家不同工业部门的设备制造商使用”。

这些漏洞是OTIcefall研究计划的一部分，旨在提高对控制许多关键基础设施机器的作业技术安全漏洞的可见性，涵盖从制造厂和电信到洁净水和电力等各个领域。今年早些时候，公司披露了近60个类似的漏洞，影响超过十多款主要工业产品和设备。

Vedere Labs的安全研究负责人Daniel Dos Santos告诉SCMedia，三个漏洞所利用的弱点——糟糕的加密技术、缺乏身份验证和不安全的设计——是在这次计划中最常见的问题，并展示了许多工业行业长期存在的核心安全和供应链挑战。

“这些漏洞在OT设备领域的持续性十分明显，它显示了设计上的不安全性，”Dos Santos在接受SC
Media采访时表示，“事实上，一些工程协议和功能没有身份验证机制，让攻击者可以对设备执行许多关键操作。此外，一些安全控制措施在加密方面也没达到预期的质量标准。”

在这种情况下，攻击者可能利用CODESYS中弱的内建加密协议来解码或操控受保护的代码，或者利用Festo控制器CPX-CEC-C1V2模型中的身份验证失效来存取先前隐藏的网页应用程序页面，使他们能够持久性重启设备，实际上使其无法运行。相同的漏洞也会影响CPX-
CMXX控制器，但Festo的产品安全事件响应团队副负责人Aleg Vilinski告诉SC Media，该模型自2015年以来已经被淘汰。

Dos Santos表示，Festo控制器中的隐藏网页应用程序页面还可