远程终端单元(简称RTU)模块属于能源领域中的一类常见解决方案,目前欧洲各国皆在使用此类设计成果,其中出现的严重的安全漏洞值得警惕。

来自拉脱维亚安全厂商 CERT.LV 公司的两名研究人员 Bernhards Blumbergs 与 Arturs Danilevics 最新发现,由爱沙尼亚 Martem 公司制造的 Telem-GW6 与 Telem-GWM 产品中存在安全漏洞,可被用于实施拒绝服务(简称DoS)攻击并执行任意代码及命令。这些存在安全漏洞的产品属于数据集中器,负责收集变电站外围设备的相关数据。

Martem 公司专注于提供配电网络监控类遥控系统,其客户包括配电公司以及自身拥有电网的工业和运输公司。Martem的主要客户来自爱沙尼亚、立陶宛、拉脱维亚以及芬兰。该公司表示,其 RTU 曾在2018年年初被用于北约合作网络防御中心(简称CCDCOE)组织的网络防御演习活动。

三个漏洞详情

  • 其中最严重的安全漏洞CVE-2018-10603(CVSS评分:10分满分),其允许网络上的恶意节点发送未经授权的命令并控制工业流程。这项安全漏洞源自对来自 IEC-104(用于远程控制、远程保护以及电力系统通信的标准协议)的命令缺少必要的验证机制。

  • 另一项高危漏洞CVE-2018-10607,属于不受控类资源消耗问题。根据ICS-CERT方面的解释,攻击者能够建立一条或者多条面向输入/输出附件(简称 IOA)的新连接并以非正常方式将其关闭,从而在工业流程控制通道内引发 DoS 状况。

  • 高危漏洞CVE-2018-10609,是一项跨站脚本(XSS)漏洞,可利用目标用户的高权限在客户端中执行任意代码。

根据 ICS-CERT 方面的介绍,这些安全漏洞甚至允许技术水平不高的攻击者通过远程方式加以使用

影响范围

研究人员 Blumbergs 与 Danilevics 发现的安全漏洞主要影响到 GW6 2018.04.18-linx_4-01-601cb47以及更早版本中的 RTU。而受到影响的GWM则为2018.04.18-linux_4-01-601cb47 以及更早版本。Martem 公司表示,随着固件2.0.73版本的发布(预计时间为2018年5月23日之后),XSS 漏洞将得到修复。

缓解措施

此外,用户也可以禁用不必要的 Web 服务器以避免攻击活动发生; 或者使用强密码阻止未经授权访问,从而保护 Web 服务器。

另外两项安全漏洞则可通过更改配置的方式得到缓解,例如使用 VPN、利用防火墙数据包过滤以及配置 RTU 以确保仅受信系统方可发送命令。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。