德國CERT @ VDE釋出針對工業控制OPC UA漏洞的安全建議

2021-05-23 15:30:57

開發工業系統的多家公司正在評估兩個新的OPC UA漏洞對其產品的影響，德國CERT @ VDE釋出了德國自動化技術公司Beckhoff的安全建議。

本月初，美國網路安全和基礎架構安全局（CISA）釋出通報，描述了OTORIO的Eran Jacob發現的兩個OPC UA漏洞。

*注：OTORIO是以色列一家專門研究運營技術（OT）安全和數字風險管理解決方案的公司。

OPC UA（統一體系結構）由OPC基金會開發，是一種機器對機器的通訊協議，已廣泛用於工業自動化和其他領域。

Jacob是OTORIO的安全研究團隊負責人，對OPC UA進行了分析，發現了幾個漏洞，被定為嚴重等級。

其中之一編號為CVE-2021-27432，並且已被描述為不受控制的遞迴漏洞，可以利用該漏洞來引發堆棧溢位。已發現此漏洞會影響OPC UA .NET Standard和Legacy。

第二個漏洞是CVE-2021-27434，為一個敏感的資訊洩露漏洞，會影響基於Unified Automation .NET的OPC UA客戶端/伺服器SDK。

針對漏洞OPC基金會在三月份釋出了一個補丁，與統一自動化軟體的缺陷與使用易受攻擊的.NET框架版本有關。根據CISA的說法，CVE-2021-27434與Microsoft在2015年修補的.NET漏洞（CVE-2015-6096）有關。CISA表示，統一自動化已通過更新解決了該問題。

多家供應商正在評估漏洞對他們產品的潛在影響，目前為止，只有Beckhoff才釋出了一份建議。

Beckhoff的建議由德國的CERT @ VDE釋出，建議指出未經身份驗證的攻擊者可以利用此漏洞創造拒絕服務（DoS）條件或通過傳送特製的OPC UA資料包獲取資訊，該公司將資訊披露問題描述為XML外部實體（XXE）漏洞。

Beckhoff指出,對於這兩種攻擊，攻擊者在攻擊OPC UA伺服器時都需要使用特製的OPC UA客戶端，而在攻擊OPC UA客戶端時則分別需要使用特製的OPC UA伺服器。為了攻擊伺服器，攻擊者必須能夠建立與該伺服器的TCP連線。為了攻擊客戶端，攻擊者需要能夠使客戶端連線到攻擊者的伺服器。只要攻擊者在建立TCP連線後就讓特製的應用程式（客戶端或伺服器）以一系列特製的網路資料包作為響應就足夠了。

如果可以通過網際網路訪問易受攻擊的OPC UA伺服器，或者易受攻擊的客戶端通過網際網路訪問由攻擊者控制的伺服器，則可以從網際網路遠端利用這些漏洞。從理論上講，對OPC UA伺服器執行DoS的攻擊者可能會影響控制系統之間的連線，導致可見性喪失，甚至可能導致工控流程失去控制，從理論上講，XXE漏洞可能允許從系統中洩漏敏感檔案（例如，未受保護的私鑰或配置檔案），或者可以用來代表受攻擊的伺服器/客戶端執行任意HTTP GET請求。

黑客針對Windows漏洞CVE-2021-31166釋出PoC

工業控制系統安全：工控系統資訊保安分級規範

23個Android應用程式公開了超過1億使用者的個人資料

DarkSide在9個月內勒索9000萬美元

Android釋出了針對野外利用的4個新的零日漏洞的補丁

德國CERT @ VDE釋出針對工業控制OPC UA漏洞的安全建議

熱門文章