盘点：2018年能源行业十大类漏洞

2018年，是能源行业信息安全保持高速发展的一年，也是安全事件频发的一年，勒索病毒、工业控制系统漏洞、物联网安全问题等，再次为我们敲响警钟。2018年，能源行业受到了哪些安全威胁？让我们一起盘点。

01 SMB协议漏洞

2018年是勒索病毒持续爆发的一年。能源行业诸多客户端、服务器在经历了WannaMine病毒、新型勒索病毒Satan、变种勒索病毒Globelmposter、GandCrab 勒索软件、Windows跨平台攻击的新型勒索病毒Lucky、新型勒索软件Spartacus等之后，加密类勒索软件家族仍然在进一步扩充和完善。

2018年，勒索病毒家族呈现快速更新的特点，以GandCrab病毒为例，从今年9月份V5版本面世以来，出现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5等多个版本的变种；其次，勒索病毒家族的攻击方式呈现多样化的特点，如GandCrab勒索病毒自身不具备蠕虫传播特征，传播途径主要是通过RDP暴力破解的方式，如Satan勒索病毒不仅使用永恒之蓝漏洞攻击，还增加了其它的漏洞攻击，包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

02 物联网设备漏洞

2018年也是物联网技术极速发展的一年。在能源设施广泛分布的摄像头、智能电表、充电桩等分布式物联网设备中，浮现了一系列的安全问题，如摄像头被远程入侵、充电桩下联信息泄露、智能电表被攻击导致恶意扣费等，轻则会导致敏感信息泄露，重则严重影响能源设施的正常运行。绿盟科技基于NTI大数据分析，举例汇总电网行业常见的物联网设备攻击分布图。

03 第三方组件漏洞

漏洞频发的WebLogic和Apache Struts2在2018年依旧吸引着人们的注意力。从能源企业业务架构来说，小到信息监测平台、电力公司官网，大到电力网上营业厅、电力市场交易平台，web应用系统多使用的是WebLogic与Struts2第三方组件架构。而在2018年WebLogic遭受了由于反序列化漏洞问题导致的漏洞修补不完全问题，从4月17日的CVE-2018-2628到10月17日的CVE-2018-3191的6个月时间内，对能源行业造成了巨大影响。

04 工业控制系统漏洞

2018年，主流工业控制系统生产厂家西门子、施耐德、Rockwell等频频被暴安全漏洞问题，诸如编程软件漏洞、代码执行漏洞、PLC控制器漏洞等，随着关键信息基础设施与等级保护2.0新增的工业控制安全部分呼之欲出，工业控制系统安全将持续成为安全领域的新焦点。

05 电力设施漏洞

电力系统的电力设施作为分布最为广泛的分布式系统，从发-输-变-配-用的每个环节都有可能成为攻击者的目标。2018年出现了针对电力输配电系统变电站监控软件的漏洞，配电网络RTU非法命令执行漏洞，国产测控装置漏洞等一系列电力设施安全问题，给电力系统的正常良好运行带来较大风险。

06 网络设备漏洞

随着国产化进程推进，IBM、Oracle、EMC、Cisco等设备逐步被替换为国产化设备，在这一过程中，对于仍然使用Cisco网络设备的能源企业，在2018年经受住了Cisco漏洞的一系列侵袭。从3月开始，暴露出了包括远程代码执行、拒绝服务攻击、认证授权绕过等一系列安全问题，涉及Cisco IOS以及IOS XE软件、Cisco AAA、Cisco CPS等组件，较大程度的影响了网络通信层面安全。

07 云环境组件漏洞

应用上云是必然的趋势，能源行业也不例外。2018年涌现了电力行业云等一系列能源行业云环境，基础服务器、应用系统的上云为业务生产的可扩展性提供了条件，但是云环境支撑组件Hyper-V、MongoDB、ZooKeeper等在2018年先后被暴出漏洞，云环境安全在2018年成为继可用性、高性能之后的另一个焦点话题。

08 中间件漏洞

伴随能源互联网建设，大量交易平台、运营平台、微网应用、需求侧管理平台等将一一涌现，在此过程中，秉承开放、共同开发的原则，大量应用系统将会采用WebSphere、Tomcat、IIS等多种互联网式架构，随之出现的也是互联网式应用的安全问题。

09 邮件后门漏洞

后门木马、邮件泄密、APT攻击，是能源企业近些年来的防护重点，而邮件系统Outlook也会带来后门泄密风险。2018年8月23日，ESET研究人员发布了关于APT组织Turla（或称Snake或Uroburos）所使用后门的研究报告，该后门用于获取至少三个欧洲国家当局的敏感通信。后门最近的目标是Microsoft Outlook。该后门并不使用传统的命令和控制（C＆C）方式，例如基于HTTP（S），而是通过电子邮件附件中的特制PDF文件，指示受感染的机器执行一系列命令。命令包括数据泄露、下载其他文件以及执行其他程序和命令，数据泄露本身也通过PDF文件进行。

10 Microsoft漏洞

Windows终端同分布式系统一样，在体系庞大的能源行业架构内，有着极其广泛的分布；不一样的是，能源行业的生产控制系统如电厂DCS系统、油化生产PLC都需要上位机、工程师站的参与配合，而这些上位机、工程师站往往都是Microsoft Windows系统。能源行业重视终端安全，配备有专门的终端安全漏洞消缺工作组，面对层出不穷的Microsoft漏洞，能源行业一直奋战在漏洞修补的第一线。

回首2018，攻击者手段更加多样化，被攻击设备种类更多，安全风险也更严峻，相对闭环的能源行业在向”能源互联网“推进过程中，遇到更多安全问题。在2019年信息安全的发展道路上，让我们一起继续前行。

声明：本文来自绿盟科技，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。