嚴(yán)重的西門子 RTU 漏洞可導(dǎo)致電網(wǎng)不穩(wěn)定

專為能源行業(yè)設(shè)計(jì)的西門子工控系統(tǒng) (ICS) 中存在一個嚴(yán)重漏洞 (CVE-2023-28489)，可導(dǎo)致惡意黑客破壞電網(wǎng)的穩(wěn)定性。

該漏洞影響 Sicam A8000 CP-8031和CP-8050 產(chǎn)品的 CPCI85固件，可被未認(rèn)證攻擊者用于執(zhí)行遠(yuǎn)程代碼。這些產(chǎn)品是專為能源供給行業(yè)尤其是變電站設(shè)計(jì)的遠(yuǎn)程控制和自動化的遠(yuǎn)程終端單元 (RTUs)。

目前補(bǔ)丁已在固件版本 CPCI85 V05及后續(xù)版本中發(fā)布。另外西門子還提到可通過限制對使用防火墻的 TCP 端口80和443 上的 web 服務(wù)器訪問而降低利用風(fēng)險(xiǎn)。

西門子在4月11日發(fā)布安全公告時(shí)指出，網(wǎng)絡(luò)安全咨詢公司 SEC Consult 的安全研究團(tuán)隊(duì)將漏洞告知西門子。

SEC Consult 漏洞實(shí)驗(yàn)室主任 Johannes Griel 表示，能夠利用CVE-2023-28489的攻擊者能夠完全控制設(shè)備并導(dǎo)致電網(wǎng)不穩(wěn)定，甚至通過更改關(guān)鍵的自動化參數(shù)而導(dǎo)致停電。攻擊者還可利用該漏洞執(zhí)行后門。然而，該專家提到，多數(shù)設(shè)備用于關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中，因此通常是受到防火墻的強(qiáng)大保護(hù)，無法直接從互聯(lián)網(wǎng)訪問。

Greil 解釋稱，“盡管如此，無法排除通過第三方支持訪問連接或潛在的配置不當(dāng)問題訪問某些設(shè)備的可能性。”對目標(biāo)設(shè)備具有網(wǎng)絡(luò)訪問權(quán)限的攻擊者可利用該漏洞，在無需任何認(rèn)證的情況下獲得完整的根訪問權(quán)限。利用該漏洞涉及向目標(biāo) RTU 發(fā)送特殊構(gòu)造的 HTTP 請求。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 也在4月份發(fā)布安全公告，將該漏洞告知組織機(jī)構(gòu)。Greil 指出，西門子 Sicam 產(chǎn)品是全球首批得到工業(yè)網(wǎng)絡(luò)安全分類“成熟度級別4”認(rèn)證的設(shè)備。該認(rèn)證 IEC62443-4-1表明安全是整個設(shè)計(jì)和開發(fā)流程中的一個重要因素，且該產(chǎn)品已經(jīng)過嚴(yán)格測試。

SEC Consult公司目前尚未發(fā)布任何技術(shù)詳情，以組織惡意黑客濫用。不過該公司指出，在西門子中發(fā)現(xiàn)了多個漏洞且正在修復(fù)中，補(bǔ)丁推出后將發(fā)布一些技術(shù)詳情。

來源：代碼衛(wèi)士? 編譯