工業(yè)網(wǎng)絡(luò)安全公司Claroty的研究人員發(fā)現(xiàn)，工業(yè)巨頭霍尼韋爾的Experion過程知識(shí)系統(tǒng)（PKS）受到三個(gè)漏洞的影響，具體產(chǎn)品型號(hào)為C200、C200E、C300和ACE控制器。其中CVE-2021-38395和CVE-2021-38397被評(píng)定為嚴(yán)重級(jí)別，CVSS評(píng)分分別為9.1和7.5，可以允許攻擊者遠(yuǎn)程執(zhí)行系統(tǒng)上的任意代碼或?qū)е戮芙^服務(wù)（DoS）條件。第三個(gè)漏洞被跟蹤為CVE-2021-38399，被列為高度嚴(yán)重，CVSS評(píng)分為10，是一個(gè)路徑遍歷漏洞，攻擊者可以訪問文件和文件夾。DCS設(shè)備因其價(jià)格昂貴難以獲得，相關(guān)安全研究的環(huán)境條件不容易滿足，因此DCS漏洞的披露通常相對(duì)較少。

　　霍尼韋爾（Honeywell）在今年2月發(fā)布了一份針對(duì)這些漏洞的安全建議，并告知客戶計(jì)劃在今年發(fā)布補(bǔ)丁。但是，受影響產(chǎn)品的某些版本將不會(huì)收到修復(fù)程序。

　　在10月5日發(fā)表的一篇博客文章中，Claroty詳細(xì)介紹了其Team82研究人員發(fā)現(xiàn)的漏洞，以及它們?cè)诂F(xiàn)實(shí)世界環(huán)境中的潛在影響。

　　分布式控制系統(tǒng)（DCS）是設(shè)計(jì)用于控制大型工業(yè)流程的復(fù)雜系統(tǒng)，由多個(gè)控制器、I/O設(shè)備和人機(jī)界面（HMIs）組成。這些系統(tǒng)通常用于需要高可用性和連續(xù)操作的大型工廠?；裟犴f爾Experion過程知識(shí)系統(tǒng)（PKS）是在全球和不同行業(yè)廣泛采用的DCS系統(tǒng)。這個(gè)巨大的自動(dòng)化平臺(tái)集成了來自整個(gè)環(huán)境的控制器的數(shù)據(jù)，提供了整個(gè)工廠范圍內(nèi)流程的集中視圖。該系統(tǒng)主要使用C200、C300和ACE控制器，可以通過Honeywell的工程工作站軟件Experion PKS Configuration Studio進(jìn)行編程。邏輯（開發(fā)為框圖）可以從工程工作站下載到DCS中的不同組件。

　　“以Experion PKS為例，Team82發(fā)現(xiàn)可以模擬下載代碼過程，并使用這些請(qǐng)求來上傳任意DLL/ELF文件（分別用于模擬器和控制器）。然后該設(shè)備加載可執(zhí)行文件而不執(zhí)行檢查或消毒，使攻擊者能夠上傳可執(zhí)行文件，并在無需身份驗(yàn)證的情況下遠(yuǎn)程運(yùn)行未授權(quán)的本機(jī)代碼?！盋laroty解釋道。

　　攻擊者可以利用這些漏洞造成重大中斷或?yàn)E用DCS對(duì)目標(biāo)組織的網(wǎng)絡(luò)進(jìn)行進(jìn)一步攻擊。然而，Claroty指出，攻擊者為了利用漏洞而需要訪問的端口通常不會(huì)暴露在互聯(lián)網(wǎng)上。在利用漏洞之前，攻擊者需要找到一種方法來訪問目標(biāo)組織的OT網(wǎng)絡(luò)。

　　漏洞產(chǎn)生的根源在控制組件庫CCL （Control Component Library）。CCL是加載到控制器上執(zhí)行特定功能的標(biāo)準(zhǔn)庫?？梢詫CL庫看作是一種擴(kuò)展，它使開發(fā)人員能夠使用標(biāo)準(zhǔn)庫不支持的外部功能塊來使用特定于應(yīng)用程序的功能。

　　CCL格式是DLL/ELF文件的包裝器（wrapper）。它的前四個(gè)字節(jié)是可執(zhí)行文件（DLL/ELF）的CRC32。接下來的128字節(jié)表示庫的名稱（用空值包裝），文件的其余部分是實(shí)際封裝的DLL/ELF文件。封裝的DLL/ELF文件是塊代碼庫，在Control Builder軟件中使用。當(dāng)CCL文件被解析時(shí)，沒有安全驗(yàn)證，例如簽名檢查或庫名的衛(wèi)生處理。因此，攻擊者可以執(zhí)行目錄遍歷攻擊，并將他們希望的任何DLL/ELF文件上傳到遠(yuǎn)程控制器上的任意位置。

　　此外，在Claroty的研究現(xiàn)，在某些情況下發(fā)送到終端設(shè)備的CCL文件會(huì)立即執(zhí)行，而不需要執(zhí)行安全檢查（如簽名檢查）。該協(xié)議不需要身份驗(yàn)證，這將阻止未授權(quán)用戶執(zhí)行下載操作。因此，任何攻擊者都可能使用這個(gè)庫下載功能來遠(yuǎn)程執(zhí)行代碼，而無需身份驗(yàn)證。為此，攻擊者可以使用該協(xié)議將其選擇的DLL/ELF下載到控制器/模擬器，并立即在終端設(shè)備上執(zhí)行。

　　分布式控制系統(tǒng)通常被網(wǎng)絡(luò)安全研究人員視為黑盒子。由于設(shè)備昂貴難以獲得，因此泄漏的DCS漏洞相對(duì)較少。像許多其他類型的工業(yè)設(shè)備一樣，它不容易在網(wǎng)上購(gòu)買，而且它的購(gòu)買和配置可能成本非常之高。這種情況在工業(yè)控制系統(tǒng)和SCADA設(shè)備中經(jīng)常發(fā)生，這對(duì)新近活躍的ICS安全研究人員來說是一個(gè)重大的障礙，他們更有可能檢查來自市場(chǎng)領(lǐng)先供應(yīng)商的商用設(shè)備。

　　今年早些時(shí)候，霍尼韋爾通過一系列更新和補(bǔ)丁解決了這些漏洞。所有在其環(huán)境中使用受影響控制器的Experion PKS客戶，無論他們是否使用ccl，都將受到影響。已經(jīng)在網(wǎng)絡(luò)上的攻擊者可以通過將帶有惡意代碼的修改CCL加載到將執(zhí)行攻擊者代碼的控制器中來影響進(jìn)程。

　　霍尼韋爾對(duì)這些關(guān)鍵漏洞的反應(yīng)比較迅速。為了解決Team82私下披露的缺陷，霍尼韋爾已經(jīng)向CCL添加了加密簽名，以確保它們沒有被篡改?，F(xiàn)在，每個(gè)CCL二進(jìn)制文件都有一個(gè)相關(guān)的加密簽名，當(dāng)CCL加載時(shí)發(fā)送給控制器；霍尼韋爾在其咨詢報(bào)告中說，在使用CCL之前，該簽名是經(jīng)過驗(yàn)證的。

　　霍尼韋爾已經(jīng)為受影響的Experion PKS版本提供了補(bǔ)丁，包括服務(wù)器軟件補(bǔ)丁和控制器固件的修復(fù)。為了完全減輕這些漏洞，必須應(yīng)用這兩種方法。

　　R510.2 （Hotfix10，已發(fā)布）和R501.6版本的修補(bǔ)程序已經(jīng)發(fā)布或?qū)l(fā)布。版本R511.5還解決了所有這些漏洞。其他的Experion版本沒有補(bǔ)丁可用，敦促這些用戶遷移到最新的版本。

　　美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）當(dāng)?shù)貢r(shí)間10月5日也發(fā)布了一份咨詢建議和一個(gè)通知，警示各組織這些漏洞構(gòu)成的威脅。