CWE 4.7中的新視圖 -- 工業(yè)控制系統(tǒng)的安全漏洞類別

1. CWE 4.7的變化

CWE今年的第一個版本在5/1前發(fā)布了，做為軟件安全的重要分類標準，我們來看下這個版本有那些變化。

從匯總圖可以看出，新增了3個弱點，廢棄了一個弱點；新增1個視圖，25分類。 從這些數(shù)字的變化，我們不難看到，又有新視圖了，到底這個新視圖是關(guān)于什么的方面的缺陷呢？

下面我們來的看下具體弱點的變動。

1.1. 新增的CWE弱點

1.1.1. CWE-1357: 依賴不受控制的組件

弱點類型：類(Class)

這個弱點的類型是類(Class)。具體的弱點的類型介紹可參見《話說CWE 4.2的新視圖》中關(guān)于弱點類型的介紹部分。

弱點的描述

許多硬件和軟件產(chǎn)品是通過多個較小的組件組 合成一個較大的實體來構(gòu)建的。這些組件可能由外部供貨商提供或無法修改，即這里指出的的“不受控制”。例如，硬件組件可能由單獨的制造商構(gòu)建，或者產(chǎn)品可能使用由與產(chǎn)品供應(yīng)商沒有正式合同的人開發(fā)的開源庫。或者，組件的供應(yīng)商由于不再營業(yè)，導致無法提供組件的更新或更改。

這種對“不受控制”組件的依賴，意味著如果在不受控制的組件中發(fā)現(xiàn)安全風險，產(chǎn)品供應(yīng)商不一定能夠修復它們。

弱點間的關(guān)系

在研究者視圖(CWE-1000)中，此弱點被放在編程規(guī)范違背(CWE-710)下，并包含已有的兩個CWE:使用未維護的第三方組件( CWE-1104)和

依賴不可更新的組件(CWE-1329)進行了歸類。

缺陷舉例

CVE-2020-9054

IoT設(shè)備在發(fā)生命令注入問題后，因為產(chǎn)品已經(jīng)終止服務(wù)而不能及時完成補丁的修復。

消減措施

通過維護軟件物料清單(SBOM), 掌握軟件組件和依賴項清單、以及有關(guān)這些組件的信息以及它們的層次關(guān)系。持續(xù)監(jiān)控每個產(chǎn)品組件的變化，特別是當出現(xiàn)新的漏洞、服務(wù)終止 (EOL) 時，及早采取措施。

1.1.2. CWE-1384: 極端物理環(huán)境條件處理不當

弱點的描述

在極端物理環(huán)境下，產(chǎn)品無法正確檢測和處理，例如溫度、輻射、濕度、功率或其他物理現(xiàn)象。

注

屬于硬件導致的問題，不做過多的分析。

1.1.3. CWE-1385: WebSockets 中缺少來源驗證

弱點的描述

WebSockets在客戶端和服務(wù)器之間提供雙向低延遲通信（接近實時）。 WebSockets 與 HTTP 的不同之處在于連接是長期存在的，因為通道將保持打開狀態(tài)，直到客戶端或服務(wù)器準備好發(fā)送消息，而在 HTTP 中，一旦發(fā)生響應(yīng)（通常立即發(fā)生），事務(wù)完成。

WebSocket可以在端口80和443上利用現(xiàn)有的HTTP協(xié)議（不限于 HTTP）。 WebSockets可以發(fā)出不受基于瀏覽器的保護機制限制的跨域請求，例如同源策略(SOP)或跨域資源共享(CORS)。如果沒有明確的來源驗證，這會使 CSRF攻擊的危害更大。

弱點間的關(guān)系

在研究者視圖(CWE-1000)中，此弱點被放在訪問控制不恰當(CWE-284)，以及保護機制失效(CWE-693)下的對數(shù)據(jù)真實性的驗證不充分(CWE-345) 下的源驗證錯誤(CWE-346)下面。

缺陷舉例

CVE-2020-25095

LogRhythm 的管理平臺(PM) 7.4.9的Web 界面如果登錄PM的用戶在同一瀏覽器會話中訪問惡意站點，則該站點可以執(zhí)行 CSRF 攻擊以創(chuàng)建從受害者客戶端到易受攻擊的PM服務(wù)器的WebSocket。一旦創(chuàng)建了套接字，惡意站點就可以在登錄用戶的上下文中與易受攻擊的Web 服務(wù)器進行交互。這可以包括導致 命令執(zhí)行的 WebSocket，從而造成跨站點 WebSocket劫持(CSWH)。

消減措施

通過在 WebSocket 握手期間驗證“Origin”標頭來保護類似跨域資源共享(CORS)的訪問限制；

在建立 WebSocket 連接之前對用戶身份驗證。例如使用WS庫中的“verifyClient”函數(shù)。

1.2. 刪除的CWE弱點

1.2.1. CWE-365: 廢棄: Switch中的條件競爭

刪除原因

此條目可能最初是基于對原始源材料的誤解而創(chuàng)建的。最初的來源旨在解釋在使用線程時，switch控制表達式使用的數(shù)據(jù)或變量可能會在不同線程的執(zhí)行之間發(fā)生變化，那么切換是如何不可預測的。 另外CWE-367 已經(jīng)涵蓋了這個弱點。

注：CWE 一樣會出現(xiàn)理解歧義，隨著認識的統(tǒng)一會形成新的統(tǒng)一，所以不糾結(jié)，這是人類認知的進化過程。

2. CWE的新視圖

2.1. CWE-1358視圖: 安全能源基礎(chǔ)設(shè)施執(zhí)行工作組（SEI EFT）給出的工業(yè)控制系統(tǒng)（ICS）中存在的安全缺陷分類

該視圖中的CWE條目是參照美國安全能源基礎(chǔ)設(shè)施執(zhí)行工作組(Securing Energy Infrastructure Executive Task Force (SEI ETF))在2022年3月發(fā)布的《工業(yè)控制系統(tǒng)(ICS)中存在安全缺陷類別(Categories of Security Vulnerabilities in ICS)》。 可見該視圖聚焦在工業(yè)控制系統(tǒng)(ICS)中存在弱點問題上。但由于CWE以前一直強調(diào)的是企業(yè)IT軟件的弱點，并未涵蓋工業(yè)控制中的弱點問題，所以該視圖中的弱點是基于“相近的IT弱點”的方式建立的，在未來的CWE版本中，這些關(guān)系可能會發(fā)生變化。

該視圖包含5個大類，20個小類。

2.2. 背景介紹

制造商一直在尋找提高生產(chǎn)效率、降低成本、提升監(jiān)控質(zhì)量以確保符合標準的方法。因此，全球的制造工廠采用和部署了越來越多的資產(chǎn)和設(shè)備連接到網(wǎng)絡(luò)的技術(shù)，用于收集生產(chǎn)過程的數(shù)據(jù)，并通過分析這些數(shù)據(jù)來發(fā)現(xiàn)生產(chǎn)流程趨勢或者對設(shè)備故障能夠進行預測。

2.2.1. 工業(yè)控制系統(tǒng)(IndustrialControl Systems(ICS))

工業(yè)控制系統(tǒng)通常用于描述硬件和軟件與網(wǎng)絡(luò)連接的集成，以支持關(guān)鍵基礎(chǔ)設(shè)施。ICS技術(shù)包括但不限于監(jiān)控和數(shù)據(jù)采集（SCADA）和分布式控制系統(tǒng)（DCS）、工業(yè)自動化和控制系統(tǒng)（IACS）、可編程邏輯控制器（PLC）、可編程自動化控制器（PAC）、遠程終端單元（RTU）、控制服務(wù)器、智能電子設(shè)備（IED）和傳感器。通常出現(xiàn)在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

2.2.2. 運營技術(shù)(Operational Technology(OT))

運營技術(shù)可定義為：對企業(yè)的各類終端、流程和事件進行監(jiān)控或控制的軟硬件技術(shù)，含數(shù)據(jù)采集和自動控制技術(shù)。OT 既包括硬件設(shè)施（如機器人、電機、閥門、數(shù)控機床等），也包括對這些設(shè)施進行控制的各種軟件技術(shù)。運營技術(shù)實質(zhì)為電子、信息、軟件與控制技術(shù)的綜合運用。

OT 應(yīng)用于各種行業(yè)，包括制造業(yè)、石油和天然氣、發(fā)電和配電、航空、海事、鐵路和公共事業(yè)。

2.2.3 運營技術(shù)安全

OT安全主要是由Gartner提出，Gartner將OT安全定義為, 借助實踐和技術(shù)來：

(a) 保護人員、資產(chǎn)和信息;

(b) 監(jiān)視和/或控制物理設(shè)備、流程和事件;

? 發(fā)起企業(yè) OT 系統(tǒng)狀態(tài)更改。

使用軟硬件來監(jiān)視和控制物理流程、物理設(shè)備和基礎(chǔ)設(shè)施。運營技術(shù)系統(tǒng)存在于許多資產(chǎn)密集型產(chǎn)業(yè)中，可以執(zhí)行從監(jiān)視關(guān)鍵基礎(chǔ)設(shè)施 (CI) 到控制生產(chǎn)車間機器人等各種任務(wù)。

2.2.4. ICS/OT和IT安全的差別

IT和ICS/OT網(wǎng)絡(luò)差別

IT和OT造成的影響差別

2.2.5 信息技術(shù)(IT)、運營技術(shù)(OT)的融合趨勢

在工業(yè) 3.0 時代，運營技術(shù)(OT)和信息技術(shù)(IT) 具有相互獨立的界面，二者沒有融合的傾向。進入工業(yè) 4.0 時代，運營技術(shù)(OT)和信息技術(shù)(IT)的融合趨勢正成為工業(yè)數(shù)字化轉(zhuǎn)型和制造業(yè)高質(zhì)量發(fā)展的關(guān)鍵，特別是計算技術(shù)的融合成為了工業(yè)數(shù)字化轉(zhuǎn)型與升級的重要方向。運營技術(shù)(OT)和信息技術(shù)(IT)以及通信技術(shù)（CT）正在深度融合，使得工業(yè)互聯(lián)網(wǎng)初步實現(xiàn)了數(shù)據(jù)和實體的全面聯(lián)接，推動服務(wù)與數(shù)據(jù)創(chuàng)新，促進數(shù)據(jù)價值實現(xiàn)，也使實時決策成為可能。目前，工業(yè)物聯(lián)網(wǎng)（IIoT）、工業(yè)互聯(lián)網(wǎng)、基于云的部署等方面是 OT 和 IT 融合的研究重點。

IT、OT的融合趨勢

2.3. 對ICS/OT的攻擊

互聯(lián)網(wǎng)帶動著各行各業(yè)的快速發(fā)展。萬物互聯(lián)乃至智能化的發(fā)展對工業(yè)領(lǐng)域也帶來了極大的便捷，與之伴隨的則是互聯(lián)網(wǎng)的傳統(tǒng)弊病，網(wǎng)絡(luò)安全問題。工業(yè)領(lǐng)域由閉塞的環(huán)境走向互聯(lián)，因為攻擊面的增加，更容易發(fā)生網(wǎng)絡(luò)安全問題。

2.3.1. 震網(wǎng)事件

2006-2010年美、以情報和軍情領(lǐng)域的軟件和網(wǎng)絡(luò)專家，工業(yè)控制和核武器的專家編制震網(wǎng)病毒，經(jīng)歷了5年的持續(xù)開發(fā)和改進，對伊朗納坦茲鈾離心設(shè)施的可編程邏輯控制器（PLC）控制系統(tǒng)進行攻擊，修改了離心機壓力參數(shù)、離心機轉(zhuǎn)子轉(zhuǎn)速參數(shù)，導致大量離心機癱瘓，鈾無法滿足武器要求，幾乎永久性遲滯了伊朗核武器計劃。

震網(wǎng)被認為是第一個以現(xiàn)實世界中的關(guān)鍵工業(yè)基礎(chǔ)設(shè)施為目標的惡意代碼，并達到了預設(shè)的攻擊目標，這是第一個“網(wǎng)絡(luò)空間”意義上的重大攻擊事件，而非傳統(tǒng)的網(wǎng)絡(luò)攻擊事件。

2.3.2. 烏克蘭電力部門遭受到惡意代碼攻擊

2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報道稱：至少有三個電力區(qū)域被攻擊，并于當?shù)貢r間15時左右導致了數(shù)小時的停電事故； 攻擊者入侵了監(jiān)控管理系統(tǒng)，超過一半的地區(qū)和部分伊萬諾-弗蘭科夫斯克地區(qū)斷電幾個小時。因遭到入侵，導致7個110KV的變電站和23個35KV的變電站出現(xiàn)故障，導致80000用戶斷電。

2.3.3. 奧爾德斯馬水處理設(shè)施安全事故

2021年2月5日，有黑客未經(jīng)授權(quán)遠程訪問了位于佛羅里達州奧爾德斯馬的Bruce T. Haddock水處理廠的操作員工作站，該工廠位于佛羅里達州坦帕市西北約15英里處。根據(jù)皮涅拉斯縣警長辦公室描述，身份不明的網(wǎng)絡(luò)攻擊者當天在兩個不同的場合訪問了操作員工作站，時間相隔大約五小時。

在當天上午大約 8 點的第一次非法入侵期間，工廠操作員觀察到鼠標光標在操作員站的屏幕上移動，并認為可能是管理員正在監(jiān)視系統(tǒng)（因為過去發(fā)生過這種情況）。

當天下午 1 點半左右，操作員觀察到有人再次訪問了系統(tǒng)，這次操作員終于可以確定異常。攻擊者操控了鼠標，將指針挪到了控制水處理的軟件上，并展開了持續(xù) 3~5 分鐘的操作。網(wǎng)絡(luò)攻擊者將氫氧化鈉（堿液）的設(shè)定值從100 ppm更改成11,100 ppm，然后退出系統(tǒng)。操作員看到了變化，立即將氫氧化鈉的設(shè)定值改回了100 ppm。

2.3.4. Claroty的《ICS風險及漏洞報告 2H:2021》

Claroty被著名的研究機構(gòu)和咨詢公司FORRESTER評為2021年第四季度工業(yè)控制系統(tǒng)安全解決方案（Industrial Control Systems (ICS) Security Solutions）的領(lǐng)導者。Claroty研究部門最近發(fā)布的2021下半年《ICS風險及漏洞報告》，報告全面分析了2021年下半年公開披露的工業(yè)控制系統(tǒng)漏洞，包括供應(yīng)商、安全研究人員、以及其他組織的專家發(fā)現(xiàn)的漏洞。

2021年共計披露了1439個ICS漏洞，比2020年的942個增加了53%。

2021年漏洞影響147家ICS供應(yīng)商，比2020年的102家增加了44%。

2.4. NIST SP800-82 OT網(wǎng)絡(luò)安全指南

美國國家標準與技術(shù)研究院 (NIST)4月26日發(fā)布了NIST SP 800-82和3版的一份初步公開草案，該草案指導如何提高運營技術(shù)(OT) 系統(tǒng)的安全性，同時滿足其性能、可靠性和安全要求。更新后的NIST SP 800-82文檔提供了OT和典型系統(tǒng)拓撲的概述，識別了OT支持的組織使命和業(yè)務(wù)功能的典型威脅，描述了OT中的典型漏洞，并提供了推薦的安全保護措施和應(yīng)對措施來管理相關(guān)風險。

草案中OT典型的漏洞包括：

表 15：體系結(jié)構(gòu)和設(shè)計漏洞

表 16：配置和維護漏洞

表 17：物理漏洞

表 18：軟件開發(fā)漏洞

表 19：通信和網(wǎng)絡(luò)配置漏洞

表 20：傳感器、最終元件和資產(chǎn)管理漏洞

其中軟件開發(fā)造成的漏洞，如下：

注：這些漏洞，也是目前軟件安全危害最大的漏洞類型。

3. 結(jié)論

隨著供應(yīng)鏈攻擊的加劇，人們已經(jīng)提高了對供應(yīng)鏈問題的防范, CWE以加入了相關(guān)的缺陷分類；

隨著IT和OT的融合，企業(yè)在數(shù)字化轉(zhuǎn)型中，需要對工業(yè)控制中可能造成的網(wǎng)絡(luò)攻擊引起足夠的重視和防范；

OT的安全會對基礎(chǔ)設(shè)施造成影響更為廣泛的災(zāi)害，特別是供電、供水、運輸?shù)然A(chǔ)設(shè)施的破壞；

美國通過SP800-82 OT網(wǎng)絡(luò)安全指南來提升運營技術(shù)(OT) 系統(tǒng)的性能、可靠性和安全要求；

CWE 4.7版本的工業(yè)控制系統(tǒng)（ICS）中存在的安全缺陷分類，為我們提供了發(fā)現(xiàn)OT領(lǐng)域的安全問題和防范提供了系統(tǒng)的視角。

4. 參考

Differences between Version 4.6 and Version 4.7

OT安全的定義及特點：https://www.freebuf.com/articles/ics-articles/213474.html

面向“互聯(lián)網(wǎng) +”的 OT 與 IT 融合發(fā)展研究: https://www.engineering.org.cn/ch/10.15302/J-SSCAE-2020.04.015

SEI-ETF-NCSV-TPT-Categories-of-Security-Vulnerabilities-ICS-v1_03-09-22: https://inl.gov/wp-content/uploads/2022/03/SEI-ETF-NCSV-TPT-Categories-of-Security-Vulnerabilities-ICS-v1_03-09-22.pdf

The Differences Between ICS/OT and IT Security : https://www.sans.org/posters/the-differences-between-ics-ot-and-it-security/

Operational Technology Security – Focus on Securing Industrial Control and Automation Systems: https://blogs.gartner.com/earl-perkins/2014/03/14/operational-technology-security-focus-on-securing-industrial-control-and-automation-systems/

NIST SP800-82 Guide to Operational Technology (OT) Security v3: https://csrc.nist.gov/publications/detail/sp/800-82/rev-3/draft

Claroty Team82 BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2021： https://security.claroty.com/biannual-ics-risk-vulnerability-report-2h-2021

烏克蘭電力系統(tǒng)遭受攻擊事件綜合分析報告: https://www.antiy.cn/research/notice&report/research_report/20160323.html

Florida water hack highlights risks of remote access work without proper security: https://edition.cnn.com/2021/02/13/us/florida-hack-remote-access/index.html

IoT 企業(yè)數(shù)字化 通用安全 靜態(tài)分析

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔相應(yīng)法律責任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。