來自俄羅斯的ICS/SCADA研究人員已經在線發(fā)布了一份高人氣工業(yè)系統(tǒng)清單——但這可不是什么榮譽榜，此次各入圍方案所使用的默認密碼已經被成功解包。ICS/SCADA方面希望能夠借此提醒各供應商——其中包括部分ICS/SCADA成員——調整自身安全實踐方式。

                     俄羅斯高人氣清單 上百款工業(yè)控制系統(tǒng)產品密碼被解包　　
　　這份被稱為SCADAPaas的清單囊括了超過100款產品，涵蓋范圍從控制器到Web服務器，而相關廠商則涉及艾倫-布拉德利、施耐德電氣以及西門子等業(yè)界巨頭。研究人員們從上述產品當中成功收集到了默認密碼內容，例如“admin.admin”、“password”、“root”以及“administrator”等等。而更令人擔心的是，這些密碼內容源自多種來源，其中一部分甚至已經被網絡上的開放密碼列表以及廠商說明文件所提及。在研究人員們看來，這還僅僅是眾多包含默認驗證密碼的ICS/SCAD產品中的“冰山一角”。

　　所謂默認密碼，也就是在出廠時預裝在產品中的密碼內容。很明顯，客戶（例如職能部門）或者安裝人員有責任在拿到產品之后為其設定一條新的、強度更高的密碼，正如IT管理員們需要對其網絡設備或者其它硬件進行密碼管理一樣。不過研究人員們強調稱，這樣的處理方式在ICS/SCADA當中并未得到良好遵循。

　　“我們的目標是轉變供應商的既定思路，告訴他們這種在工業(yè)系統(tǒng)當中使用簡單/默認密碼且不采取適當安全控制機制的作法殊不可取——具體來講，他們需要調整首次登錄與密碼設定的復雜性水平。著眼于IT領域，供應商們的產品”在被交付至用戶手上之后，往往會要求其變更默認密碼以進行安裝。但同樣的情況在工業(yè)控制系統(tǒng)領域則有著不同的走向，白帽黑客SCADA奇愛團隊成員SergeyGordeychik解釋稱——其參與并發(fā)布了此次SCADAPass清單。

　　“操作人員更傾向于‘如果一切運轉正常，那就別碰它’原則。有時候他們甚至接觸不到各類設備控制功能的具體信息，”他表示。使用簡單密碼——或者干脆不設置密碼——在配合本地接入以及物理保護型系統(tǒng)，例如HMI或者MES面板，時倒不是什么大問題。但他強調稱，如果用戶們采用與網絡或者無線接入相等同的驗證方式，則會引發(fā)問題——巨大的問題。

　　他同時指出，他和所在團隊并未發(fā)布其在研究過程中發(fā)現的一份長度驚人的硬編碼密碼清單。具體來講，硬編碼密碼無法為用戶所變更。

　　當然，最大的危險還是以root方式對工業(yè)路由器、PLC或者其它ICS/SCADA設備進行遠程接入，這將基本宣告我們運營體系的崩潰。具體來講，一旦入侵成功，攻擊者將了解到整個工業(yè)流程——例如水源處理——并借此發(fā)動破壞性襲擊，他解釋稱。

　　而且找出ICS/SCADA系統(tǒng)中的默認登錄憑證并不困難，ICS/SCADA咨詢企業(yè)DigitalBond公司CEODalePeterson指出。“我們多年來一直在整理自己的一份內部清單，并不斷向其中添加新近發(fā)現的問題，”他表示。

　　根據他的說法，公布SCADAPass的好處在于幫助ICS/SCADA操作人員們標記自己正在使用的密碼。不過由此帶來的后果就是，這些密碼內容也有可能被其它密碼查找工具所利用，他指出。

　　Peterson同時表示，他的企業(yè)有時會從客戶網絡當中發(fā)現默認憑證。“相關IT安全人員根本沒有意識到自己需要對這些憑證進行測試，”因此SCADAPass對他們無疑是一款非常實用的工具，他補充稱。

　　通過超長密碼進行入侵

　　與此同時，某些特制密碼則可被用于入侵部分ICS/SCADA設備：CyberX的研究人員們發(fā)現施耐德電氣出品的部分ModiconM340PLC產品型號當中存在著一項零日漏洞，而此類設備在核反應堆、凈水與污水處理設施乃至交通管理系統(tǒng)當中都有用到。

　　CyberX發(fā)現此類產品中存在一項緩沖區(qū)溢出漏洞，惡意人士可以通過向目標PLC的網絡界面當中輸入90到100字符長度的隨機密碼實現漏洞利用。這類操作會使該設備陷入崩潰，進而讓攻擊者以遠程方式進行代碼執(zhí)行。施耐德方面已經修復了部分受影響型號，但仍有一部分設備要等到1月16號才能迎來合適的補丁。

　　CyberX公司CTONirGiller指出，這類黑客行為極具諷刺意味，因為其利用的正是產品所內置的驗證機制。“這是我們第一次發(fā)現能夠被切實利用的密碼字段緩沖區(qū)溢出漏洞，”他強調稱。

　　舉例來說，實施此類惡意活動的攻擊者可以將矛頭指向一套主工業(yè)控制器，從而關閉主PLC并禁用其運行網絡，Giller指出。這類攻擊還可能得到進一步升級，而Giller本人將在下周于邁阿密召開的S4ICS/SCADA大會上演示具體攻擊流程。

　　施耐德公司目前并沒有就這份聲明回應媒體方面的質詢請求。

　　DigitalBond公司的Peterson則表示，ICS/SCADA設施運營人員應當將更多精力集中在對其控制系統(tǒng)進行遠程接入方面。“目前我們面臨的最大風險就是允許眾多人員遠程接入控制系統(tǒng)——包括員工、供應商以及顧問等等，”Peterson指出。這無異于為安全隱患敞開大門，特別是通過巧妙的魚叉式釣魚攻擊竊取這些用戶的驗證憑證，他解釋稱。

　　由于目前大多數ICS/SCADA設施仍然在以非常謹慎的方式進行系統(tǒng)修補——畢竟他們仍然在以正常運行時間為主要訴求，因此相信風險管理與風險削減機制的引入能夠有效幫助這些設施免受黑客人士的侵擾，各位安全專家提醒稱。