-
安全产品
-
-
-
黑客可使用恶意代码攻击配电设备导致电力中断
发布时间:
2022-01-13
来源:
作者:
天地和兴
访问量:
84
网络安全公司Red Balloon的研究人员进行了一项模拟实验,仅使用几行恶意代码就破坏了一台用于保护电线的计算机,导致电力中断。其中包括模拟用一个勒索软件攻击了施耐德Easergy P5继电器。
该实验旨在重现黑客对电网的影响。实验表明,在真实的攻击中,黑客可以通过攻击保护城市、工业厂房或体育场的系统来中断部分地区的电力供应。
Red Balloon研究人员在法国施耐德电气公司制造的Easergy P5中压保护继电器上发现了两个漏洞CVE-2022-22722和CVE-2022-22723,利用该漏洞可能会导致设备凭据泄露、拒绝服务、设备重新启动、或攻击者获得对中继的完全控制,从而导致电网失去保护。施耐德在1月11日发布了该设备的软件修复程序。
Red Balloon的发现强调了在关键基础设施中提高网络安全的必要性,其中可以远程访问的计算机网络中的漏洞“可以被加工成具有非常真实物理影响的网络武器”。
Red Balloon的CEO兼创始人Ang Cui表示,“供应商发布固件修复程序以解决这一漏洞并不会改变全局。供应商需要在安全方面做得更好。我们需要在固件中内置强大的安全性。”
Mandiant的技术经理Chris Sistrunk表示,这些风险虽然令人担忧,但不应被夸大。即使像P5这样的保护继电器发生故障,电源也可以在数小时内恢复,并向受影响的客户供电。最坏的情况是会给单个站点带来一些麻烦,比如Superdome或大型制造商。
在2016年12月乌克兰发生停电之后,一项分析显示,攻击者试图破坏保护继电器,以期延长停电时间。虽然专家表示,欧洲和美国的先进电网更难受到攻击,但如果攻击成功,修复电网可能会困难得多。
施耐德电气的继电器等设备通常位于网络防火墙之后,并且不直接连接到公共互联网,从而为运营商提供了一些安全性。但老练的黑客仍然可以找到利用这些网络中错误配置的方法,甚至绕过物理屏障,最终能够访问受保护的设备。
Cui表示,在Red Balloon的模拟中,黑客可能会同时攻击多个设备。而且由于工厂或其他用户手头的备件数量可能有限,因此对数十台设备的攻击可能会导致长时间停电,从而很容易导致没有电力的人士感到困惑和愤怒。关键基础设施中安全设备中的漏洞可能会有破坏电力的强大功能,有些甚至带来持久影响。
实验过程
在实验中,研究人员模拟了纽约曼哈顿的桌面立体模型,自由女神像被安置在一个精简的中央公园,并配有细小的铜线。研究人员使用了几行恶意代码,就破坏了一台用于保护电线的计算机。随即架在空中的电线开始发出橙色的亮光,然后在几秒钟内,电线就在一阵浓烟中蒸发,整个曼哈顿地区陷入黑暗。
Red Balloon的攻击包括模拟一个勒索软件攻击施耐德Easergy P5继电器,在P5继电器的显示屏上闪烁着Shmancybear Funsomware Request!!!字样。
施耐德Easergy P5继电器
继电器是现代电网运行和稳定性的关键安全设备,当故障或异常电流威胁损坏设备或伤害人员时,会切断电源。
Red Balloon研究人员在法国施耐德电气公司制造的Easergy P5中压保护继电器上发现了两个漏洞CVE-2022-22722和CVE-2022-22723,利用该漏洞可能会导致设备凭据泄露、拒绝服务、设备重新启动、或攻击者获得对中继的完全控制,从而导致电网失去保护。
施耐德在1月11日发布了该设备的软件修复程序。施耐德电气发言人表示,“该公司对网络威胁高度警惕,并不断评估和改进产品和研发实践,以更好地保护产品和客户运营,使其免受网络威胁。在得知施耐德电气Easergy P5保护继电器存在漏洞后,我们立即着手解决这些问题。我们敦促该产品的用户遵循在1月11日发布的安全通知中的缓解建议,包括一个解决直接风险的软件补丁。用户应在整个运营过程中实施通用网络安全最佳实践,以保护其系统。”
漏洞详情
CVE-2022-22722的CVSS V3评分为7.5分,是高危硬编码凭据漏洞,可能导致信息泄露。如果攻击者获取设备的SSH加密密钥,并主动控制连接到产品的本地运营网络,可能会观察和操纵与产品配置相关的流量。
CVE-2022-22723的CVSS V3评分为8.8分,是高危缓冲区溢出漏洞。当特制数据包通过网络发送到设备时,该漏洞可能导致缓冲区溢出,从而导致程序崩溃和任意代码执行。通过GOOSE的保护功能和跳闸功能可能会受到影响。
缓解措施
Easergy P5固件版本01.401.101包含针对这些漏洞的修复程序,建议用户尽快更新到该版本。
对于CVE-2022-22723,如果客户选择不更新到该版本,可禁用产品的GOOSE服务以降低暴露风险。如果应用程序需要GOOSE,请仅在安全的局域网中使用。
在将这些补丁应用到系统时,客户应该使用适当的补丁方法。施耐德强烈建议在测试和开发环境或离线基础架构上使用备份并评估这些补丁的影响。
此外,施耐德强烈建议遵循以下网络安全最佳实践:
- 将控制和安全系统网络以及远程设备放置于防火墙后面,并与业务网络隔离;
- 安装物理控件,使未经授权的人员无法访问工业控制和安全系统、组件、外围设备和网络;
- 将所有控制器放在上锁的机柜中,切勿将其置于“程序”模式;
- 切勿将编程软件连接到任何预期设备的网络之外的网络;
- 在终端或连接到这些网络的任何节点中使用之前,扫描与隔离网络进行移动数据交换的所有介质,如CD、USB驱动器等。
- 绝不让已连接到除预期网络之外的任何其他网络的移动设备在没有适当卫生设施的情况下连接到安全或控制网络;
- 尽量减少所有控制系统设备和系统的网络暴露,并确保无法从互联网访问这些设备和系统;
- 当需要远程访问时,使用安全方法,例如使用VPN。然而VPN也可能存在漏洞,应将其更新到用的最新版本。
参考资源:
【1】https://www.bloomberg.com/news/articles/2022-01-11/researchers-show-how-hackers-can-cut-the-lights-with-rogue-code
【2】https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-03
上一条:
下一条:
相关资讯
关注我们