鑽石舞台

主 要 內 容

近日，一份關於一組56個漏洞的安全報告已發布，這些漏洞統稱為 Icefall，會影響各種關鍵基礎設施環境中使用的運營技術 (OT) 設備。

據悉，Icefall是由Forescout的Vedere實驗室的安全研究人員發現，它影響了十家供應商的設備。包括安全漏洞類型允許遠程代碼執行、破壞憑證、固件和配置更改、身份驗證繞過和邏輯操作。

受影響的供應商包括 Honeywell、Motorola、Omron、Siemens、Emerson、JTEKT、Bentley Nevada、Phoenix Contract、ProConOS 和 Yokogawa。他們已在 Phoenix Contact、CERT VDE和美國網絡安全和基礎設施安全局 ( CISA ) 協調的負責任披露中得到通知。

在過去的幾年裡，受 Icefall 影響的系統類型已成為專門惡意軟件 Industroyer 2 和 CaddyWiper 的更頻繁目標，這兩種惡意軟件都是不久前由俄羅斯黑客針對烏克蘭發電厂部署的。

Vedere Labs 發現的缺陷主要涉及憑證安全、固件操縱和遠程代碼執行，同時操縱配置和創建拒絕服務 (DoS) 狀態帳戶的數量較少。

Icefall漏洞的類型 （Forescout）

Forescout在其報告中指出，「許多漏洞是由於 OT 的設計不安全」，還補充說「許多身份驗證方案被破壞」，這表明實施階段的安全控制不足。

例如，研究人員指出，許多設備使用明文憑據、弱密碼或損壞密碼、硬編碼密鑰和客戶端身份驗證。

這些身份驗證漏洞為威脅行為者實現遠程代碼執行 (RCE) 和 DoS 條件或安裝惡意固件映像鋪平了道路。通過在目標設備或其後面的設備上發出命令來直接操作操作是研究人員強調的另一個風險。

Icefall 影響了眾多工業部門使用的各種設備，使其極具吸引力，尤其是對國家支持的對手而言。

Forescout 表示，一些可能來自利用 Icefall 的威脅參與者的場景包括創建誤報、更改流量設定點、中斷 SCADA 操作或禁用緊急關閉和消防安全系統。

為了證明他們的發現和潛在風險，研究人員使用了風力發電和天然氣運輸系統，顯示了各種 Icefall 缺陷的位置以及如何將它們鏈接起來以實現更深層次的妥協。

（圖注風力發電廠的冰瀑缺陷 （Forescout））

（天然氣運輸系統 （Forescout）

受影響的設備分布在世界各地。分析師使用 Shodan 掃描互聯網以查找暴露的易受攻擊的系統，並發現以下前六名：

Honeywell Saia Burgess – 2924 台設備，遍布意大利、德國、瑞士、瑞典和法國。

Omron 控制器——西班牙、加拿大、法國、美國和匈牙利的 1305 台設備。

Phoenix Contact DDI – 意大利、德國、印度、西班牙和土耳其的 705 台設備。

ProConOS SOCOMM – 236 台設備，遍布中國、美國、德國、新加坡和香港。

霍尼韋爾趨勢控制——法國、丹麥、意大利、西班牙和英國的 162 台設備。

Emerson Fanuc /PACSystems – 美國、加拿大、波蘭、台灣和西班牙的 60 台設備。

值得注意的是，有 74% 的易受攻擊產品系列已通過安全認證，這表明這些程序既不安全，也不夠全面。

主要的安全建議是應用供應商提供的最新固件更新。不過，目前並非所有提到的供應商都發布了 Icefall 的修復程序，也有下游供應商需要採取行動。

在修復可用或可以安裝之前，強烈建議系統管理員對網絡進行分段並監控流量和設備活動。

使用「設計安全」的設備發現和替換易受攻擊的產品以及安裝物理交換機是降低妥協變化的好方法。

Forescout 通過對軟件、固件和硬件組件的深入手動和自動分析發現了 Icefall 漏洞集。該公司發布了一份更詳細的技術報告，描述了影響一個供應商的四個漏洞，但這些漏洞仍在披露中。

建議公司遵循每個供應商的安全建議，以了解有關每個漏洞對受影響產品的具體影響的更多詳細信息。