德国安全厂商Armis近日披露了一项针对施耐德电气(Schneider Electric)Modicon系列可编程逻辑控制器(PLC)的严重安全漏洞,该漏洞被命名为“Modipwn”。此漏洞允许攻击者通过远程方式执行代码,从而完全接管受控设备。Modicon系列PLC广泛应用于全球制造业、楼宇自动化、医疗健康及企业环境,是工业控制系统(ICS)中的核心组件,常用于控制生产线、电梯及暖通空调(HVAC)系统。
攻击者利用该漏洞时,首先需获得对Modicon PLC的网络访问权限。随后,攻击者通过利用UMAS协议中的未文档化命令,从设备内存中提取特定哈希值。借助该哈希值,攻击者能够接管控制器与管理工作站之间的安全连接,将设备重置为无密码配置状态。一旦完成此步骤,攻击者即可滥用更多未文档化命令,实现远程代码执行,彻底控制设备。
在完全接管设备后,攻击者可植入恶意软件,篡改PLC的运行逻辑,并隐藏这些异常操作,使其难以被管理端监控发现。该漏洞的官方编号为CVE-2021-22779。此类高级攻击并非首次出现,此前针对沙特阿拉伯石化设施的Triton恶意软件便曾针对施耐德的同类安全控制器。此类攻击不仅威胁业务连续性,更因具备隐蔽性而极难被传统安全方案察觉。
Armis研究副总裁Ben Seri指出,工业环境中的遗留设备往往基于未加密的旧协议开发,彻底消除底层协议弱点需要时间。他呼吁相关企业立即采取行动,全面盘点OT环境中的设备资产,明确自身漏洞分布,防止系统被接管或被勒索软件攻击。Armis与施耐德电气已合作推动相关修复措施,并发布了详细的技术博客与修复白皮书供企业参考。
对于中国工业制造企业而言,随着“中国制造2025”推进,老旧工控设备的智能化改造与联网化趋势加速,此类漏洞警示我们需尽快建立针对OT资产的主动防御体系,避免重蹈国外工业设施被攻陷的覆辙。