对PLC进行DoS攻击可导致物理过程中断

栏目: 编程工具 · 发布时间: 6年前

内容简介:​去年,德国奥格斯堡应用技术大学和柏林自由大学的研究人员发表了一篇题为《疏忽就损失:测量PLC在攻击下的周期》的论文。本周,美国 ICS-CERT 发布缓解建议,指导受影响供应商如何应对该漏洞。该安全漏洞的编号是 CVE-2019-10953,被归类为 “高严重性漏洞” (CVSS评分7.5)——工业网络安全人员常警告称:相比IT系统,工业系统遭到DoS攻击的影响更为深远。

​去年,德国奥格斯堡应用技术大学和柏林自由大学的研究人员发表了一篇题为《疏忽就损失:测量PLC在攻击下的周期》的论文。本周,美国 ICS-CERT 发布缓解建议,指导受影响供应商如何应对该漏洞。

对PLC进行DoS攻击可导致物理过程中断

该安全漏洞的编号是 CVE-2019-10953,被归类为 “高严重性漏洞” (CVSS评分7.5)——工业网络安全人员常警告称:相比IT系统,工业系统遭到DoS攻击的影响更为深远。

攻击针对PLC的循环周期。PLC一次循环经历4个阶段:读取输入 (比如来自传感器的),执行程序,执行诊断和通信任务,写输出。执行一次循环所需时间就称为周期时间,通常在1毫秒到10毫秒之间。

研究人员已证明,针对PLC特别编制的网络流量可影响该时序,造成现实世界中受PLC控制的物理过程中断。

PLC反应不一,有些完全停止更新其输出,有些则是出现迟滞现象。

之前就有其他研究人员提出过网络流量可影响工业控制系统(ICS)所控过程的理论,德国奥格斯堡应用技术大学和柏林自由大学的专家则是通过对6家供应商16种设备做的实验证明了其现实可操作性。研究人员指出,攻击完全可以针对默认配置的PLC发起。

攻击既可以从互联网 (目标设备暴露在互联网上) 发起,也可以从与目标PLC处在同一网络的被黑设备发起。攻击者甚至无需了解PLC所控实际过程或其上运行程序的专门知识。

此类DoS攻击颇为引人注意,因为虽然针对的是PLC的网络层面,实际要破坏的却是其电气层面 (例如PLC控制的过程) 而非网络连接性。

被测设备中仅有一种对网络洪水攻击免疫。然而,也仅有一家供应商发布了补丁。

被测设备供应商包括:ABB、Phoenix Contact、施耐德电气、西门子和WAGO。ICS-CERT透露,仅施耐德电气针对其 Modicon M221 和 EcoStruxure Machine Expert 产品发布过补丁。ABB称其产品是因为保持了默认配置才会被攻击成功;Phoenix Contact 称其更新的产品不受影响,不会为老产品发布补丁,并建议客户实现缓解措施。

西门子称这不算是其产品的漏洞;WAGO表示这是某些设备的已知问题并建议缓解。

由于几乎所有制造商都受到某种程度上的影响,很难找到比较好的解决方案,解决过程可能会很长。制造商需对此问题进行更深入的调查研究,因为网络流量是会对现实世界物理过程产生反馈的。研究人员手头可用的设备毕竟数量较少,品类繁多数量庞大的PLC还是制造商研究起来更为方便和全面。

《疏忽就损失:测量PLC在攻击下的周期》:

https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf

美国ICS-CERT本周发布的建议:

https://ics-cert.us-cert.gov/advisories/ICSA-19-106-03

Phoenix Contact 的缓解建议:

https://www.phoenixcontact.com/assets/downloads_ed/local_pc/web_dwl_technical_info/ah_en_industrial_security_107913_en_01.pdf


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

21天学通C语言

21天学通C语言

(美国)琼斯(Bradley L.Jones) (美国)埃特肯(Peter Aitken) / 信达工作室 / 人民邮电出版社 / 2012-8 / 69.00元

《21天学通C语言(第6版•修订版)》是初学者学习C语言的经典教程。本版按最新的标准(ISO∕IEC:9899-1999),以循序渐进的方式介绍了C语言编程方面知识,并提供了丰富的实例和大量的练习。通过学习实例,并将所学的知识用于完成练习,读者将逐步了解、熟悉并精通C语言。《21天学通C语言(第6版•修订版)》包括四周的课程。第一周的课程介绍了C语言程序的基本元素,包括变量、常量、语句、表达式、函......一起来看看 《21天学通C语言》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

MD5 加密
MD5 加密

MD5 加密工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具