关键基础设施设备满是缺陷　哪怕经过安全认证

安全研究人员发现，关键基础设施中所用的设备满是漏洞，可导致拒绝服务、配置篡改和远程代码执行。

而且，大多数此类运营技术（OT）产品（包括工业控制系统及相关设备）都号称经过了安全认证，但其中一些实际上并没有。

在一篇题为《关键基础设施设计不安全》的预印本论文中，Forescout安全研究员Jos Wetzels和Daniel dos Santos，以及德国克劳斯塔尔工业大学安全IT系统教授Mohammad Ghafari，在工业技术制造商的产品中发现了53个通用漏洞与暴露（CVE），其中一些是微小漏洞，另一些则是严重漏洞。

这些缺陷源自基本安全设计失败，其中一些可能会导致严重后果。

研究人员审查了来自十家不同主流供应商的45条OT产品线，产品应用范围涵盖政府、医疗保健、供水、石油和天然气、发电、制造业、零售业及其他行业。通过对产品进行逆向工程，研究人员发现了未经验证的协议和弱密码等不良做法。

这些产品的供应商包括：本特利内华达、艾默生、霍尼韦尔、JTEKT、摩托罗拉、欧姆龙、菲尼克斯、西门子、横河和施耐德电气。

论文计划在5月份的IEEE/ACM安全物联网研讨会上发表，三位作者在论文中表示：“我们发现，每个产品中都至少存在一个微小漏洞。我们总共报告了53个缺陷，包括几个严重漏洞，可导致拒绝服务、配置篡改和远程代码执行等后果。”

超过三分之一（21个）的CVE可助力黑客进行凭证盗窃。另有18个CVE涉及数据篡改，其中13个可导致固件篡改。还有10个CVE提供了远程代码执行途径。

实现远程代码执行的方法之一就是通过固件篡改。

三位作者表示：“我们检查的设备中只有51%设置有某种形式的固件更新验证机制，即便某些情况下是硬编码凭证的形式。78%的设备没有实现加密固件签名。”

研究人员解释道，涉及到的大多数软件组件（84%）都是用C++编写的，这种编程语言通常比C或.NET更为繁复；而且，尽管通常采用专有文件格式，固件却依赖C和C++混杂的代码，没有加密或混淆处理。

涉及到的硬件架构包括：Arm（31%）、x86（26%）、PowerPC（24%）、SuperH（12%）和其他（7%）。固件架构包括：VxWorks（22%）、QNX（14%）、Linux（13%）、WinCE（9%）、OS-9（4%）、ITRON/TKERNEL（4%），另有11%使用自定义操作系统，23%使用其他操作系统。

三位作者指出，自己遵循了负责任披露的惯例，但一些制造商对调查结果表示了异议。五起异议案例中，研究人员接受了供应商的回复，撤销或缓和了披露，或者调整了披露的时机。而在至少十起异议案例中，研究人员与供应商各执己见无法达成一致，导致一些公共CVE没有供应商参与。

通过开源查询（例如使用Shodan搜索引擎），三位作者确定，有大量潜在脆弱系统暴露在互联网上。

意大利的暴露设备数量位居榜首（1255台），其次是德国（440台）、西班牙（393台）、法国（376台），瑞士（263台）和美国（178台）。

以通过了工控系统安全标准IEC 62443认证但不合格的产品为例，研究人员在论文中表示：“令人担忧的是，这些产品中很多都经过了认证，但存在本应在认证过程中发现的漏洞。这表明，除了标准可能没有涵盖的内容，即使标准确实涵盖的内容，实际操作中也未必总能面面俱到。”

拜登政府在最近发布的《国家网络安全战略》中纳入了保护关键基础设施的必要性。这一目标显然仍在努力达成的路上。

研究人员表示：“我们得出的结论是，尽管十年来一直在努力改善OT安全，但即使是经过安全认证的产品，OT设备仍然存在设计不安全的问题。”