针对运营技术(OT)网络的攻击者,长期以来主要致力于突破网络分段层,以访问可编程逻辑控制器(PLC)并篡改其运行的梯形逻辑程序。然而,安全研究人员警告称,这些控制器本身应被视为边界设备,其固件中的缺陷可能使攻击者通过点对点等非路由连接,实现向底层设备的深层横向移动。
为揭示此类风险,安全公司Forescout的研究人员利用在施耐德电气Modicon PLC中发现的两个漏洞,在一个模拟的可移动桥梁OT架构中深入渗透,成功绕过所有安全机制并造成物理损坏。这两个漏洞分别影响了使用EcoStruxure Control Expert和Process Expert系统管理的Modicon Unity系列PLC,包括M340、M580、M580 Safety、MC80等广泛部署于水务、电力、采矿及制造业的型号。
其中,CVE-2022-45789漏洞(CVSS评分8.1)允许攻击者劫持已认证的Modbus会话并执行未授权的Modbus功能。Modbus作为工业通信事实标准,其变体UMAS协议本意通过EnhancedCyberReserve机制实现认证,但研究人员发现该机制存在根本性缺陷:非易失性随机数(nonce)被全局维护且仅在会话结束时更新,导致中间人攻击者可嗅探并伪造认证请求,而无需中断原始会话。
另一漏洞CVE-2022-45788(CVSS评分7.5)则允许在PLC上执行远程代码。该漏洞利用了一个未文档化的Modbus UMAS命令(服务代码0x50),能够直接操作内部内存,且不留痕迹。与常规攻击不同,此漏洞无需下载恶意项目文件或重启PLC,攻击者可直接创建虚拟内存页并填充专有命令集,实现对内部内存块的读写和复制,类似于操作系统中的“热补丁”技术。
传统OT环境通常分为多级架构:Level 0为现场设备,Level 1为PLC控制器,Level 2为SCADA系统,Level 3为操作管理软件,Level 4为企业IT网络。攻击者通常需从IT层渗透至OT层,或通过远程管理网关等捷径进入。Forescout通过Shodan搜索引擎发现,全球超过1000台Modicon Unity PLC暴露在互联网上,涉及机场、矿山、发电厂及化工厂等关键设施,其中法国、西班牙、意大利和美国数量最多。
更严峻的是,许多工业现场采用“打包单元”(Packaged Units, PUs),这些由制造商提供的子系统(如HVAC、水处理等)往往作为黑盒直接接入业主控制系统,业主缺乏控制权。攻击者可通过这些远程管理的黑盒,或利用点对点、串行等非路由连接,实现深层横向移动。研究人员指出,传统观点认为一旦攻陷PLC即止步于此,但实际攻击者可利用非路由链路突破安全系统(SIS),直接控制底层设备。
在模拟的可移动桥梁场景中,研究人员首先攻陷了中央耦合器,利用缓冲区溢出漏洞获取远程代码执行权,随后通过中间人攻击利用CVE-2022-45789绕过认证,再利用CVE-2022-45788深入PLC内部。最终,他们通过以太网模块的点对点连接,利用另一漏洞(CVE-2019-12256)攻陷了安全PLC,成功绕过安全系统并直接控制桥梁电机等关键组件,证明了“深层横向移动”的可行性。
尽管目前野外攻击尚未达到如此复杂的漏洞链利用程度,但历史表明,安全研究中的技术往往会在数年后成为现实攻击手段。随着OT网络集成度提高和远程管理需求增加,攻击面不断扩大,曾经“不可达”的设备正变得脆弱。建议企业禁用未使用的服务,部署深度包检测(DPI)防火墙,并对点对点链路实施严格的访问控制和日志审计,以应对日益复杂的威胁。
对于中国工业从业者而言,此次事件警示我们:在推进工业互联网和远程运维的过程中,必须重新审视“非路由连接”的安全风险,不能仅依赖网络分段,而应加强对PLC固件及底层通信协议的深度防御,避免重蹈国外关键基础设施被深层渗透的覆辙。
