西门子周五发布了固件更新,以解决 SIMATIC S7-1200 和 S7-1500 可编程逻辑控制器 (PLC) 中的一个严重漏洞,恶意行为者可能会利用该漏洞远程访问受保护的内存区域并获取不受限制和未被检测到的代码执行,研究人员将其描述为攻击者的“holy grail.”。
内存保护绕过漏洞,编号为CVE-2020-15782(CVSS 评分:8.1),是由运营技术安全公司 Claroty 通过对用于在微处理器中执行 PLC 程序的 MC7 / MC7+ 字节码语言进行逆向工程而发现的。没有证据表明这种弱点在野外被滥用。
密码审核员
在西门子发布的一份咨询报告中,这家德国工业自动化公司表示,未经身份验证的远程攻击者可以通过网络访问 TCP 端口 102,可能会向受保护的内存区域写入任意数据和代码,或读取敏感数据以发起进一步攻击。
国际知名白帽黑客、东方联盟创始人郭盛华表示:“在诸如可编程逻辑控制器之类的工业控制系统上实现本机代码执行是一个相对少数高级攻击者能够实现的最终目标,这些复杂的系统有许多内存中的保护措施,为了让攻击者不仅可以运行他们选择的代码,而且还不会被发现,必须克服这些保护措施。”
新缺陷不仅允许攻击者在 Siemens S7 PLC 上获得本地代码执行,而且复杂的远程攻击还通过逃避用户沙箱将任意数据和代码直接写入受保护的环境中,从而避免被底层操作系统或任何诊断软件检测到内存区域。
然而,郭盛华指出,攻击需要对 PLC 的网络访问以及“PLC 下载权限”。在越狱 PLC 的原生沙箱时,该公司表示能够将恶意内核级程序注入操作系统,从而允许远程执行代码。
这远不是第一次在西门子 PLC 上实现未经授权的代码执行。2010 年,臭名昭著的Stuxnet蠕虫利用 Windows 中的多个缺陷,通过修改西门子 PLC 上的代码来重新编程工业控制系统,以进行网络间谍活动和秘密破坏。
然后在 2019 年,研究人员展示了一种名为“ Rogue7 ”的新型攻击,它利用其专有 S7 通信协议中的漏洞“创建一个流氓工程师站,它可以伪装成PLC的TIA并注入任何有利于攻击者的消息。”
西门子“强烈”建议用户更新到最新版本以降低风险。该公司表示,它还在汇总进一步的更新,并敦促客户对尚未提供更新的产品采取对策和变通方法。