为了更好地了解网络安全该公司的产品管理总监Venkat Pothamsetty说工业防御者(www.industrialdefender.com)提供一些深刻的分析和缓解可能性。
在这篇文章发布之时,西门子工业(www.usa.siemens.com)和RuggedCom(www.ruggedcom.com)没有对漏洞的细节发表评论,只是说“两家公司的专家正在调查这个问题,一旦有了信息更新,就会提供。”西门子收购RuggedCom早在2012年1月,它提供了强大的,工业品质的以太网通信产品和网络解决方案。这些产品主要是在恶劣的环境条件下使用,例如,在功率分配,在炼油厂中,或在交通控制系统。
问题1:哪些设备可能受到影响?
Venkat Pothametty:报告的漏洞是在加固操作系统(ROS)的安全套接字层(SSL)。因此,这意味着只有崎岖的交换机和终端服务器等其他小型设备的web管理可能受到该漏洞的影响。
问题2:漏洞意味着什么?
硬编码私钥意味着每个运行RuggedCom ROS的设备共享相同的私钥。这也意味着“私有”密钥不是真正的私有(如秘密)。
由于私钥在每个设备上共享,因此拥有易受攻击设备或ROGGEDCOM ROS的固件图像的人可以提取该私钥并解密由该私钥加密的任何网络流量。
许多供应商的类似嵌入式设备也提供安全Shell (SSH),这是一种远程管理协议,也依赖加密来安全传输流量。如果用于加密SSH通信的私钥也出现在设备的固件中,那么网络通信也会受到建议中相同漏洞的攻击。任何硬编码加密密钥,无论使用或协议,都将遭受同样的漏洞。从这个角度来看,如果您对SSH使用基于密钥的身份验证,这就像是将您自己的私人私钥共享给世界其他地方—这将允许任何人生成您的公钥,并开始使用该公钥/私钥对模拟您。
问题3:这意味着什么?
最近的Ruggedcom SSL“漏洞”的更高级别问题是将安全通信的缓慢移动到OT(操作技术) - 特别是在OT环境中实现有源公钥基础设施(PKI)管理的高障碍和抵抗。OT中的许多设备甚至都不支持SSL等安全通信,更不用说使用昂贵的PKI管理系统。
电力行业通过就此问题与智能电表去两到四年前。道德黑客证明以获得在固定的工厂键的能力米和行业赶到新标准,可升级的米 - 然后一个新的(对于多米,大量淘汰并更换和产业项目延迟一个做了)市场同类Certicom的人出售PKI管理平台专为先进计量基础设施(AMI)PKI管理而设计的。
当然,智能电表的问题更严重,因为几乎没有替代方案——电表挂在建筑的外墙上——而电表本身就是影响收入测量和运营控制的重要终端。对于大多数OT基础设施,总体漏洞较少,尽管存在一些特定的潜在弱点,但有更多机会使用“深度防御”方法来减轻威胁。大多数RuggedCom以太网交换机大概都在空气间隙或防火墙后面,这样可以大大减少攻击面。控制台提示符的访问应该需要UserID/Password身份验证,这甚至为具有本地访问的“攻击者”提供了一个防御层。此外,网络入侵检测系统(NIDS)和安全事件管理器(SEM)可以提供机制,识别异常和攻击发生时,使其他防御措施。随着新版本固件的开发带有额外的安全条款,配置审计工具可以帮助跟踪和监控实现和持续的遵从性。
问题4:检测和缓解呢?
ICS-Cert咨询没有关于Ruggedcom ROS的任何特定版本的详细信息。在进行区分之前,应该假设最近和所有以前版本的ROS都很脆弱。在咨询中的硬编码私钥存在多个公共密钥非常不可能。因此,一种低误的积极方式来检查,看看Ruggedcom设备是否共享相同的私钥是浏览到Ruggedcom ROS设备的HTTPS Web界面,并检查正在使用的公钥的详细信息。如果您有多个使用相同的公钥的设备,那么您的设备很可能也具有相同的私钥。将此建议带到心脏,在Ruggedcom ROS Devise上的不同公钥的存在并不一定表明您并不脆弱。私人/公钥对可以在ROS版本中更改,但加密密钥仍然很难编码。希望ICS-Cerc将更新咨询并对这一特殊情况提供一些洞察力。
坚固的开关位于过程控制区域的深度内部,并可利用,交换机应由HTTPS接口管理。从技术上讲,任何人都不太可能在工程师的电脑和交换机之间存在,以利用这种漏洞。
正如ICS-CERT建议所述,如果控制操作员在管理交换机之前遵循VPNing到PCN的最佳实践(通过进程控制防火墙),那么这应该作为一种漏洞缓解技术。
- 定位防火墙后的控制系统网络和设备,并将其与业务网络隔离。
- 如果需要远程访问,请使用安全的方法,如VPN (Virtual Private Networks), VPN的安全性取决于所连接的设备。
Ruggedcom可能需要一段时间来解决脆弱性;但是,如果遵循过程控制架构的最佳实践,则可以轻松减轻漏洞。