对PLC进行DoS攻击可导致物理过程中断

​去年，德国奥格斯堡应用技术大学和柏林自由大学的研究人员发表了一篇题为《疏忽就损失：测量PLC在攻击下的周期》的论文。本周，美国 ICS-CERT 发布缓解建议，指导受影响供应商如何应对该漏洞。

该安全漏洞的编号是 CVE-2019-10953，被归类为 “高严重性漏洞” (CVSS评分7.5)——工业网络安全人员常警告称：相比IT系统，工业系统遭到DoS攻击的影响更为深远。

攻击针对PLC的循环周期。PLC一次循环经历4个阶段：读取输入 (比如来自传感器的)，执行程序，执行诊断和通信任务，写输出。执行一次循环所需时间就称为周期时间，通常在1毫秒到10毫秒之间。

研究人员已证明，针对PLC特别编制的网络流量可影响该时序，造成现实世界中受PLC控制的物理过程中断。

PLC反应不一，有些完全停止更新其输出，有些则是出现迟滞现象。

之前就有其他研究人员提出过网络流量可影响工业控制系统(ICS)所控过程的理论，德国奥格斯堡应用技术大学和柏林自由大学的专家则是通过对6家供应商16种设备做的实验证明了其现实可操作性。研究人员指出，攻击完全可以针对默认配置的PLC发起。

攻击既可以从互联网 (目标设备暴露在互联网上) 发起，也可以从与目标PLC处在同一网络的被黑设备发起。攻击者甚至无需了解PLC所控实际过程或其上运行程序的专门知识。

此类DoS攻击颇为引人注意，因为虽然针对的是PLC的网络层面，实际要破坏的却是其电气层面 (例如PLC控制的过程) 而非网络连接性。

被测设备中仅有一种对网络洪水攻击免疫。然而，也仅有一家供应商发布了补丁。

被测设备供应商包括：ABB、Phoenix Contact、施耐德电气、西门子和WAGO。ICS-CERT透露，仅施耐德电气针对其 Modicon M221 和 EcoStruxure Machine Expert 产品发布过补丁。ABB称其产品是因为保持了默认配置才会被攻击成功；Phoenix Contact 称其更新的产品不受影响，不会为老产品发布补丁，并建议客户实现缓解措施。

西门子称这不算是其产品的漏洞；WAGO表示这是某些设备的已知问题并建议缓解。

由于几乎所有制造商都受到某种程度上的影响，很难找到比较好的解决方案，解决过程可能会很长。制造商需对此问题进行更深入的调查研究，因为网络流量是会对现实世界物理过程产生反馈的。研究人员手头可用的设备毕竟数量较少，品类繁多数量庞大的PLC还是制造商研究起来更为方便和全面。

《疏忽就损失：测量PLC在攻击下的周期》：

https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf

美国ICS-CERT本周发布的建议：

https://ics-cert.us-cert.gov/advisories/ICSA-19-106-03

Phoenix Contact 的缓解建议：

https://www.phoenixcontact.com/assets/downloads_ed/local_pc/web_dwl_technical_info/ah_en_industrial_security_107913_en_01.pdf