罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统（ICS）的应用和流程，这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。 但近日， Cisco Talos 却在 PLCs 中发现了一些安全漏洞，可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。根据工业控制过程中受影响的 PLCs 来看，漏洞可能还会导致更严重的损害。 Allen-Bradley MicroLogix 1400 B 系列漏洞详情： 以太网卡格式错误的数据包拒绝服务漏洞（TALOS-2017-0440 / CVE-2017-12088） 该漏洞允许未经身份验证的攻击者发送特制数据包，从而使受影响的设备进入电源循环并进入故障状态，这种情况会导致先前存储在设备上的梯形逻辑被删除。需要注意的是，这个漏洞不是通过以太网/ IP 协议来利用的，因此使用 RSLogix 来禁用以太网/ IP 不会提供有效的缓解。 梯形图逻辑程序下载设备故障拒绝服务漏洞（TALOS-2017-0441 / CVE-2017-12089） 该漏洞允许未经身份验证的攻击者发送导致拒绝服务条件的特制数据包。该漏洞位于受影响设备的程序下载功能中，允许攻击者通过发送“ 执行命令列表 ”（CMD 0x0F，FNC 0x88）数据包而不使用“下载完成”( CMD 0x0F, FNC 0x52 )来强制设备进入故障状态（ CMD 0x0F，FNC 0x52）。当出现这种情况时，设备会将此作为故障状态处理，进入非用户故障模式，从而导致设备停止正常操作并删除任何存储的逻辑。 SNMP 集处理不正确的行为顺序拒绝服务漏洞（TALOS-2017-0442 / CVE-2017-12090） 该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关，可能会允许经过身份验证的攻击者在受影响的设备上发生拒绝服务条件。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中最终命令关联的后续’snmp-set’命令，攻击者可以迫使该设备在重新启动过程中无法使用。 未经身份验证的数据/程序/功能文件访问控制漏洞不正确（TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473） 该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取和写入操作，这可以用于从受影响的设备中检索敏感信息（包括设备主密码）、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。 内存模块存储程序文件写入漏洞（TALOS-2017-0444 / CVE-2017-12092） 该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改，直到设备重新启动后才能生效。随后，攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置，从而导致启用的服务发生更改。 PLC 会话通信资源池拒绝服务漏洞不足（TALOS-2017-0445 / CVE-2017-12093） 该漏洞存在于受影响设备的会话连接功能中，默认情况下，这些设备最多支持 10 个同时连接。一旦达到最大值，设备将终止最早的连接，以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包，以强制终止合法连接，并阻止对受影响设备建立额外的合法连接。 Cisco Talos 经过测试已经确认以下版本受到漏洞影响： Allen-Bradley Micrologix 1400 B系列FRN 21.003 Allen-Bradley Micrologix 1400 B系列FRN 21.002 Allen-Bradley Micrologix 1400 B系列FRN 21.0 Allen-Bradley Micrologix 1400 B系列FRN 15 由于这些设备通常用于支持关键的工业控制过程，因此建议将受影响设备升级到最新版本的固件，以便不再受到这些漏洞的影响。 消息来源：Cisco Talos，编译：榆榆，审核：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。 研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。 另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。 稿源：cnBeta、solidot，封面源自网络。

前景提要：网络安全公司 FireEye 和 Dragos 于上周报道称，新型恶意软件 Triton 和 Trisis 通过破坏关键基础设施中广泛使用的施耐德电气 Triconex 安全控制器致使中东部分机构关场停工。据悉，工业网络安全公司 CyberX 根据种种迹象推测，此次网络攻击事件的幕后黑手可能由伊朗策划，其目标疑似沙特阿拉伯的一家重要机构。美国国土安全部（DHS）的国家网络安全和通信集成中心（NCCIC）周一就此事发布了一份针对工业安全系统的恶意软件的分析报告。 HackerNews.cc 12 月 19 日消息，美国国土安全部（DHS）研究人员于近期在调查时发现另一新型恶意软件 HatMan，旨在针对国家工业控制系统（ICS）展开攻击活动。随后，国家网络安全与通信集成中心（NCCIC）在本周一发布的恶意软件分析报告中提供了缓解措施与 YARA 规则，以便减少国家工控系统的损失。 调查显示，基于 Python 编写的 HatMan 恶意软件主要以施耐德电气的 Triconex 安全仪表系统（SIS）控制器为目标，旨在监控流程并将其恢复到安全状态或在发现潜在危险情况时执行安全关闭。此外，HatMan 还通过专有的 TriStation 协议与 SIS 控制器进行通信，并允许攻击者通过添加新的梯形图逻辑操纵设备。然而，由于黑客在触发 SIS 控制器启动 “安全关闭” 功能后终止了操作，因此FireEye 专家推测攻击者可能是在侦查阶段无意触发了控制器，其最终目标可能只是针对 SIS 造成高强度的物理伤害感兴趣。 施耐德电气的 Triconex 安全检测系统（SIS）控制器主要用于核电站、炼油、石化、化工和其它过程工业的安全和关键单元提供连续的安全连锁和保护、工艺监视，并在必要时安全停车。 值得注意的是，NCCIC 在其报告中指出，该恶意软件主要有两部分组件：一部分是在受损的 PC 端运行后与安全控制器交互，另一块是在控制器上直接运行。研究人员表示，虽然 HatMan 本身并没有做任何危险动作，且被降级的基础设施安全系统也不会直接操作整个控制流程，但倘若存在漏洞的安全系统遭到恶意软件感染则可能会造成极大危害。另外，可以肯定的是，虽然 HatMan 今后可能会成为监控 ICS 的重要工具，但它或许只会被用来影响工业生产流程或者其他危险操作。总而言之，恶意软件中不同组件的构建意味着攻击者需要对 ICS 环境（特别是对 Triconex 控制器）极其熟悉，以及它需要较长的开发周期来完善这类高级攻击手法。 施耐德电气已对此事件展开调查。官方表示目前没有证据表明该恶意软件利用了产品中的任何漏洞。但安全专家还是建议客户切勿轻易将设备置于 “Program” 模式，因为当控制器设置为此“Program” 模式时攻击者就可能通过恶意软件传送 payload。 国家安全局局长 Emily S. Miller 表示：“ 攻击者有能力访问关键基础设施的安全仪器设备，并极有可能针对设备固件进行潜在更改，因此这一提醒给予关键基础设施的所有者与经营者莫大的警示。” 消息来源：Securityweek，译者：青楚，审校：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。