可远程利用的漏洞使攻击者能够在各种行业中造成破坏和破坏

安全研究人员在企业，医院，工厂和其他组织使用的建筑管理系统中发现了一个可远程利用的关键漏洞，用于控制通风，温度，湿度，气压，照明，安全门等等。该供应商已发布固件更新，但数百个这些系统仍在互联网上公开，突出了ICS设备远程管理的风险。

该漏洞被追踪为CVE-2019-9569，由安全公司McAfee的研究人员发现并影响enteliBUSManager(eBMGR)，这是一个控制系统，可用于管理连接到传感器，报警器，电机等连接器的不同I/O开关，锁具，阀门等工业设备。该系统还可以用作连接多个楼宇自动化控制网络(BACnet)段的路由器。

eBMGR由一家名为DeltaControls的公司制造，该公司总部位于加拿大不列颠哥伦比亚省，但在世界各地设有办事处并销售其产品。发现的问题是位于BACnet堆栈中的缓冲区溢出漏洞，导致成功利用时远程执行代码。攻击者可以通过向易受攻击的设备发送恶意制作的数据包来触发它，这不需要身份验证或用户交互。

为了演示此攻击，迈克菲研究人员创建了一个漏洞利用程序，可在设备上部署恶意软件程序，从而为攻击者提供远程控制功能。虽然他们目前不打算发布漏洞利用代码，但研究人员在拉斯维加斯举行的DEFCON安全会议上发表了他们的研究结果。

迈克菲安全研究员MarkBereza在一篇博客文章中说：“考虑一下医院里的正压室，通常用于在手术过程中防止污染。”“像这样的管理室是eBMGR的一个典型应用，如果它们破坏了这样一个敏感的环境，它就不会想象一个坏人可能造成什么样的伤害。”

迈克菲高级威胁研究负责人StevePovolny告诉CSO，由于BACnet是基于UDP的协议，因此可以通过向整个网络广播消息来轻松利用此漏洞。他还补充说，设备可以通过互联网进行攻击，并且这种控制系统暴露用于远程管理并不罕见。

在全球范围内发现的弱势设备

在2月至4月期间，McAfee发现近600台eBMGR控制器在互联网上运行易受攻击的固件版本(571848及之前版本)。但是，其他公开曝光的DeltaControls设备与eBMGR共享相同的固件，并且也可能容易受到攻击。McAfee估计目标总数约为1,600，但企业网络中存在更多目标，如果与其他系统没有正确隔离，可能会受到攻击。

大多数连接互联网的控制器位于北美，在美国占53%，在加拿大占35%。然而，在英国，爱尔兰，意大利，德国，新西兰，新加坡，日本，澳大利亚和其他国家也观察到易受攻击的设备。

对其IP地址的分析显示，其中近三分之一由教育部门的组织运营，其次是电信，房地产，医疗，食品，政府，酒店和银行业。

迈克菲研究人员表示，“考虑一下我们发现可能会受到影响的行业。”“当这些系统发生故障时，医院，政府和电信等行业可能会产生严重后果。”

在医院内部潜在的攻击会影响人的生命，在数据中心情况下，攻击者可以禁用温度控制和警报，让服务器崩溃并遭受物理损坏，这可能导致严重的停机和数据丢失。

DeltaControls有效响应

McAfee称赞Delta对此问题的回应以及对漏洞协调和修复过程的承诺。虽然该公司观察到新的eBMGR控制器在监控期间连接到互联网，但它也观察到更多的eBMGR控制器被脱机。

“我们鼓励研究小组负责任地向我们的团队披露漏洞，”DeltaControls在其网站的一份声明中表示。“同样，DeltaControls，Inc。致力于定期向我们的客户和行业传达网络安全信息。”

许多ICS安全研究的重点是用于制造工厂，公用事业，天然气和炼油厂以及其他关键基础设施环境的PLC和SCADA系统。然而，对eBMGR等楼宇自动化系统的攻击也可能对人类生活产生影响，并且这些设备更有可能在互联网上暴露出来用于远程管理。

迈克菲高级威胁研究团队的高级安全研究员DouglasMcKee说：“最小特权政策的原则可能是合适的，网络隔离或受保护的网络段可能有助于提供对攻击者的访问权限。”“对安全性研究的认识和适当的修补策略可以最大限度地缩短已知漏洞的暴露时间。我们建议对这些重要的安全租户进行全面审查和验证，以使这些关键资产与其他基础设施一样受到严格审查。“

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！