传感器网络安全：一个比Log4shell还严重的漏洞

近日，针对ICS/OT网络安全专家Ankit Suthar的文章“您的智能仪器安全吗？中陈述的事实，即一家石化设施中的3,000多台智能仪器被发现没有设置口令，即使在默认情况下也是如此。国际知名自动化专家、控制系统网络安全专家，Applied Control Solutions公司管理合伙人Joe Weiss指出，这种传感器的明显漏洞，其后果和影响远远超过了Log4shell漏洞。恶意行为者只需插入他的HART通讯设备便可根据需要进行更改。这可能会导致炸毁炼油厂、爆裂管道、释放有毒化学品、接管电力变压器等系列不良后果。Weiss认为，传感器的网络安全需要不断检查和改进。然而，任何网络改进都不能以牺牲控制系统的可靠性或安全性为代价。目前，行业或政府标准或政府法规均未解决这些问题。

被忽视的传感器网络安全问题

在网络空间安全领域或行业工作的人都知道零信任原则，普遍认为这是网络安全的核心原则。众所周知，过程传感器对传感器支持的控制系统和使用过程传感器输入的操作员显示器具有100%的信任。不仅传感器完全受信任，而且没有过程测量完整性指数可以让设施操作员对这种信任感觉更好。

国际知名控制系统网络安全专家Joe Weiss提出了控制系统网络安全第一定律：过程测量完整性=授权+认证+准确性。过程测量完整性可确保任何更改均由具有权限的人员（授权）进行，信号来自传感器（身份验证），并且传感器测量会考虑偏差，无论是无意的还是恶意的（准确性）。无论是网络安全标准，还中可靠性和功能安全标准都没有涉及过程测量的完整性。

所有设施（工业、商业、制造、医院、建筑、军事等）都使用过程传感器来测量压力、液位、流量、温度、电压、电流等。过程传感器被输入到控制系统、功能安全系统以及控制和功能安全系统网络。这些设备已被证明存在网络漏洞，但任何现有的行业或政府网络安全标准都没有解决这些问题。

运营技术(OT)网络安全社区中的许多人认为网络很重要，但过程传感器并不重要。典型例子包括：

n美国自来水厂协会 (AWWA) 网络安全标准不涉及过程传感器。

n美国石油协会 (API) 的网络安全指南不涉及过程传感器。

n北美电力可靠性公司 (NERC) 的关键基础设施保护(CIP)标准不包括过程传感器。

n美国运输安全局(TSA)的管道网络安全要求、铁路、机场和航空网络安全要求不包括过程传感器。

n国际自动化学会(ISA)/国际电工委员会(IEC) 62443系列控制系统网络安全标准目前并未解决传统过程传感器或过程测量完整性的独特问题。

因此，Weiss又提出了控制系统网络安全第二定律：出入过程传感器的垃圾=从网络流出的垃圾，其中“垃圾”可能是无意的（例如，传感器漂移、技术人员错误、制造缺陷等）或恶意的（物理或网络）。

真实的过程传感器漏洞

2021年12月29日，Ankit Suthar发表文章“您的智能仪器安全吗？” https://www.linkedin.com/pulse/your-smart-instruments-secured-ankit-suthar/?trackingId=7r%2Bf25P7QXKo83zDDsPZkw%3D%3D。在该文中，Ankit指出：“我们一直在调试3,000多台智能仪器（即Foundation Fieldbus-FF、HART），其中包括回路检查、模拟、校准和数据表验证、每个仪器的资产管理系统(AMS)配置。（HART-高速可寻址远程传感器 ，是一种混合模拟和数字工业自动化开放协议。有线HART通过使用1200波特调制解调器的传统4-20mA模拟仪表电流回路进行通信）。项目管理顾问工程师询问了所有仪器的口令配置。我开始深入研究不同供应商的所有手册和数据表，发现大多数仪器根本没有口令，即使是默认设置也是如此。您只需插入您的HART通讯设备就可根据需要进行更改。”

现在设想一下这个设计漏洞如何挫败零信任模型。还有一条附加消息，即口令可能与许多过程传感器和其他控制系统现场设备无关。

在处理过程传感器网络安全的任何工业或政府网络安全标准中都没有网络安全要求。无论通信的安全性如何，如果事实上构成任何物理过程的过程传感器受到损害或有缺陷，则不会可能有一个安全、可靠或优化的过程。

2017年，ISA99成立了一个特别工作组，以确定过程传感器等传统控制系统设备是否能够满足组件网络安全规范 ISA/IEC 62443-4-2的要求。大多数主要的控制系统过程仪表供应商都是这个特殊工作组的成员。结论是传统的现场设备无法满足标准。这导致了另一个特别工作组，这次是在过程安全委员会内，更详细地评估传感器问题。ISA84.09（过程安全/网络安全）工作的目的是确定ISA 62443-4-2组件规范的个别安全要求与遗留（今天正在构建的以及已经安装的那些）的相对一致性和适用性。最后，2021年初，ISA84.09工作组选择了最先进的数字安全压力变送器（与 Ankit 识别的传感器相同）生态系统，包括变送器、主机、现场校准器和本地传感器网络，以确定如果有的话，可能需要采取什么补偿措施。结果是ISA 62443-4-2 中的138项个人网络安全要求中有69项无法满足，包括基本的网络安全要求，例如口令。这意味着补偿控制是必要的，并且需要替代标准/建议来解决将在未来10-15年或更长时间使用的旧设备。

CVE和CVSS机制在OT场景下并不适用

Common Vulnerabilities and Exposures (CVE)系统提供了一种参考方法来跟踪和评级公开的信息安全漏洞和暴露的严重性。Log4j因其易于入侵而获得最高严重等级，log4j (CVE-2021-44228) 漏洞极其严重，数百万应用程序使用Log4j进行日志记录，而攻击者所需要做的就是让应用程序进行日志记录一个特殊的字符串。Log4j的通用漏洞评分系统 (CVSS) 得分为10，因为它非常普遍，易于利用，并允许完全接管系统或应用程序。

缺乏网络安全和身份验证，包括许多过程传感器缺乏口令功能是硬件设计问题，而不是软件漏洞。因此，需要有一个专门用于控制系统设备的新类别。因此，控制系统网络安全的Weiss第三定律：

常识风险指数(CRI)：如果过程测量完整性受到损害并且传感器可能导致或促成灾难性故障，则风险很高，必须迅速解决。这可能看起来是新的，但事实并非如此。这就是解决核安全问题的方式，也是第一次发现过程传感器安全问题的方式。

潜在影响

针对过程工业

所有应用程序中都使用多种传感器协议的没有基本网络安全功能的过程传感器。例如，全球有超过4000万台设备使用HART。其中许多设备用于安全应用，其中过程传感器的损坏可能导致炼油厂、化工厂、水处理设施、发电厂、船舶等的灾难性故障。

在Ankit的文章中，他描述了一名带现场通讯设备（没有网络安全，但已连接到 Internet）的技术人员在获得许可后执行校准。仪器重新量程并恢复使用。另一位技术人员在AMS上进行了相同的操作，而无需前往现场。除了AMS和现场通讯设备之外，还有其他接口可以访问仪器的参数。

Ankit还指出“攻击不一定[来自]来自外部。” 霍尼韦尔的Sinclair Koelemij对2020年5月24日关于OSI PI-ICSA-20-133-02漏洞的博客观点表示同意，即尽管该公告提到了“本地攻击者”的攻击，但本地攻击者很容易被恶意软件取代。因此，威胁是本地的还是远程的并没有太大区别。由于HART-IP本质上没有本地网络安全，因此网络安全功能取决于系统集成商或最终用户。当攻击者访问 OSI PI 连接器时，可以使用影响现场设备的 HART-IP 注入其他命令。命令可以导致修改范围、跨度、工程单位和/或阻尼值。一些现场设备甚至允许将低量程设置为高于高量程值。这种变化将有效地逆转控制方向。如果基本过程控制系统 (BPCS) 和安全仪表系统(SIS)的现场设备都连接到一个公共系统，情况可能会更糟。在这种情况下有可能同时对BPCS和SIS发起攻击，可能同时瘫痪这两个系统，对生产设备和人员安全造成潜在的破坏性后果。

针对电网

考虑利用易受攻击的过程传感器会如何影响电网的可靠性、网络安全性和功能安全性。佛罗里达州一家联合循环发电厂的蒸汽轮机由于电压互感器(PT)故障而导致控制系统输入错误，导致振荡持续，直到电厂操作员手动将机组停止运行。振荡迅速从局部强制振荡（200MW负载波动）演变为大约0.25 Hz频率的互联范围振荡，该振荡通过整个东部互连传播，在新英格兰造成50MW负载波动。

正如Ankit所说：“对控制系统的攻击可能采取一种或多种现场仪器被欺骗的形式，以导致一台设备关闭。” 电流互感器(CT)和电压互感器(VT/PT)构成了电力系统变电站中的大部分传感器。CT和PT没有口令安全性。网络攻击，包括来自欺骗信号的网络攻击，可能对包括变压器在内的变电站设备产生不利影响。如果过程传感器受到损害或传感器信号如Ankit所述被欺骗并通过后门发送到变压器设备，则变压器完整性处于危险之中。

欺骗值会导致控制系统不恰当地操作其相关保护系统。根据初步调查，极不可能确定该操作是由网络攻击引起的。但是，新的数字继电器和控制系统会记录事件序列 (SOE) 并将记录存储在内存中。保护工程师可以访问 SOE 记录并回放寄存器中的各个控制系统值，并通过观察电压和电流相量及其发生的对称分量——这是物理而非网络取证。通过适当的培训，这种更深入的检查使保护工程师能够注意到可能指向CT和PT输入欺骗的异常。

针对建筑控制

2021年9月，橡树岭国家实验室 (ORNL)、太平洋西北国家实验室 (PNNL) 和国家可再生能源实验室(NREL)发布了一份关于建筑物过程传感器问题的报告。该报告得出的结论是，网络安全威胁正在增加，因此传感器数据传输可能会被黑客入侵。典型的情况可能包括传感器数据被黑客修改并发送到控制回路，从而导致极端的控制行为。据 ORNL、PNNL和NREL 作者所知，还没有此类研究检验过这一挑战。

最后，Weiss表达了严重的担忧。他认为不友好的国家已经意识到这些弱点。一位俄罗斯安全研究人员在2016年ICS 网络安全会议上从莫斯科远程演示了通过AMS中的网络漏洞攻击有线HART协议（考虑Ankit所说的话）。2017年10月，Weis在他的LinkedIn 账户上收到了来自伊朗代表的“赞”，在他的Defcon演讲中表示过程传感器没有网络安全。如前所述，某国制造的大型变压器中的硬件后门使欺骗过程传感器信号能够控制变压器。

OT网络安全对网络的关注是必要的，但这还不够。事实上，这是对危险的认识不足。控制系统网络安全需要关注对安全性、可靠性、维护和网络安全至关重要的过程传感器（和其他控制系统现场设备），特别是因为这些设备没有网络安全、身份验证或网络日志记录。这包括许多没有口令保护功能的过程传感器。影响不是像Log4j漏洞这样的潜在危害，而是直接操纵设备造成物理损坏并危及人员安全的能力。传感器的网络安全需要不断检查和改进。然而，任何网络改进都不能以牺牲控制系统的可靠性或安全性为代价。目前，行业或政府标准或政府法规均未解决这些问题。合适的优先级和紧迫性在哪里？

原文链接：

https://www.controlglobal.com/blogs/unfettered/a-vulnerability-worse-than-log4j-and-it-can-blow-up-facilities-and-shut-down-the-grid/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。