Triton惡意軟體利用0day漏洞攻擊施耐德電氣設備
近期披露的名為「Triton」和「Trisis」的惡意軟體利用一個施耐德電氣的Triconex Safety Instrumented System(SIS)控制器中的0 day漏洞對關鍵基礎設施進行了攻擊。
「
全文 1009 字
預計閱讀時間 4 min
」
該惡意軟體被設計用來專門針對工業控制系統(ICS),最早在中東一次設施停車中被發現。FireEye和Dragos都針對它發布了詳細的報告。
Triton用來專門針對施耐德電氣的Triconex SIS設備。這些SIS設備是用來監視過程狀態並將其恢復到安全狀態,或在狀態參數達到潛在的危險狀態下使設備安全停車的。Triton惡意軟體使用了TriStation專用的協議來與SIS控制器進行交互,包括進行程序和函數的讀寫。
施耐德電氣最初確信Triton並沒有利用漏洞攻破該公司的產品,但現在該公司已經正式通知其客戶 Triton 確實利用了一個存在於舊版Triconex Tricon 系統中的漏洞。
施耐德電氣表示,上述漏洞僅存在於少數舊版系統中,並且未來數周中會發布一個補丁(來解決該問題)。與此同時,該公司也在開發一個用來在控制器上掃描Triton惡意軟體並將其清除的工具,預計將於2月發布。
施耐德電氣指出,即便該漏洞存在,假如各組織部署了安全措施並遵循「最佳實踐」的話,Triton惡意軟體也不會得逞。
詳細地說,Triton惡意軟體當且僅當SIS設備被設置為PROGRAM模式時才能攻入該設備。施耐德電氣建議當SIS設備不在編程過程中時,不要將SIS設備設為PROGRAM模式。如果被攻擊的基礎設施組織當初遵循了該建議,惡意軟體就不會攻入控制系統,那麼即便漏洞存在也不會產生影響。所以施耐德公司將漏洞描述為「複雜攻擊中的一個微小環節」。
施耐德電氣表示其SIS產品功能與設計一致——當檢測到潛在的危險情況時使控制系統安全停車。目前還沒有任何因為產品遭惡意軟體攻擊而導致的對客戶人身或環境的影響。
在公司發布的一份建議中,施耐德電氣同時告知其客戶,Triton惡意軟體具有掃描和建立系統拓撲的能力。
「該惡意軟體能夠掃描工業控制系統並建立網路拓撲,來實現信息偵察,並向Tricon控制器發送指令。這類惡意軟體被歸類為遠程訪問木馬(RAT),一旦感染,就能夠通過遠程網路連接來進行『有物理許可權一般的』系統控制。」施耐德電氣指出。
施耐德電氣已經向用戶發出建議,強烈推薦用戶依據Triconex產品文檔中的「安全考量」章節落實安全措施。該指南建議將Triconex控制器放在上鎖的機櫃中,並且當控制器被設置為「PROGRAM」模式的時候在醒目處顯示警報。
雖然Triton/Trisis攻擊真正的幕後黑手目前還不清楚,但是研究人員認為此次攻擊的複雜程度顯示出有國家資助的黑客參與其中。工業網路威脅情報公司CyberX根據對Triton的分析,確信該惡意軟體由伊朗黑客開發,攻擊目標是沙烏地阿拉伯。
木鏈
Bolean | 木鏈科技
TAG:木鏈工控安全 |