专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

该死的口令！ICS/OT环境中口令管理困境

网空闲话plus · 公众号 · · 2024-06-14 07:05

正文

工业控制系统（ICS）和运营技术（OT）是现代工业的核心组成部分，它们的安全性对于保障关键基础设施和生产流程的稳定运行至关重要。然而，近年来，ICS和OT环境中的口令管理问题暴露出了严重的安全隐患，特别是与口令泄露相关的漏洞。从2000年至2023年，工控系统（ICS）因口令泄露导致的安全事件层出不穷，展现了其脆弱性和潜在的破坏力。2000年，澳大利亚Maroochy水务公司遭到前雇员利用泄露口令的攻击，释放大量未经处理的污水，造成环境污染。2010年，Stuxnet蠕虫病毒通过多个漏洞，包括默认口令，成功破坏了伊朗的核设施，推迟其铀浓缩计划。2015年，乌克兰电力系统遭到攻击，导致大规模停电，影响数十万人。2020年，以色列水处理系统被黑客通过口令泄露试图改变氯化物添加量，尽管攻击被阻止，但显示了公共健康的潜在风险。2023年，伊朗政府关联的黑客劫持了宾夕法尼亚州及其他多个州的供水公司的ICS系统，等等事件显示，ICS/OT环境口令问题的严重威胁无处不在。

一、口令泄露漏洞的普遍性

1、默认口令和硬编码口令

ICS和OT系统的设计初衷并未充分考虑当今的网络安全威胁，这使得它们在面对现代攻击时显得脆弱。许多系统依赖默认口令或硬编码口令，这些口令往往未被及时更换。例如，Westermo EDW-100工业串行转以太网转换器被发现存在硬编码的root用户口令，攻击者可以轻松提取并加以利用。

这种默认口令和硬编码口令的使用在工业控制系统中十分常见，主要是因为早期的系统设计者更多地关注功能性和可靠性，而不是安全性。Dragos公司的Reid Wightman指出，他们在多种ICS设备中发现了密码泄露漏洞，这些漏洞使未经身份验证的用户或权限较低的用户能够检索凭证。

2、过时的设备和软件

ICS和OT环境中的许多设备和软件都已经运行多年，甚至几十年。这些老旧系统通常缺乏现代安全防护措施，并且厂商可能已经停止为其提供更新和支持。例如，旧版本的ICS/OT设备由于设计和维护的原因，往往容易被忽视。这些设备可能继续保留可访问的远程管理服务，比如暴露IPMI 2.0口令哈希，增加了被攻击的风险。

普华永道挪威公司的研究人员指出，漏洞不仅限于固件中的口令暴露，还包括本地文件或内存读取漏洞以及不安全的网络身份验证方法。这些老旧设备由于在设计时并未考虑到未来可能出现的安全威胁，因此在面对现代网络攻击时显得格外脆弱。

3、不安全的网络身份验证

除了默认口令和硬编码口令，不安全的网络身份验证方法也是导致口令泄露的重要因素。一些设备在通信过程中未对敏感信息进行加密，导致攻击者可以通过网络嗅探轻松获取口令。例如，Campbell Scientific的产品中存在的漏洞允许攻击者获取以弱编码格式存储的网络身份验证凭据。这些漏洞如果被恶意利用，可能导致敏感数据泄露，甚至对环境、基础设施和可再生能源部门造成影响。

4、口令管理不善

许多工业企业在口令管理方面缺乏系统性的策略，导致口令泄露的风险增加。例如，使用弱口令或重复使用相同口令，未定期更换口令，将口令写在便于获取的地方，或者在共享文件中存储口令等都是常见的问题。这些不良的口令管理习惯，使得攻击者能够轻易地获取并利用这些凭证，进行未授权的访问和控制。SecurityWeek指出，威胁行为者利用弱口令或默认口令对ICS系统进行攻击的情况屡见不鲜。

二、口令泄露漏洞的影响

口令泄露漏洞的影响是多方面的。首先，它们可能导致未经授权的访问，进而对整个ICS/OT系统造成重大破坏。例如，在2023年末，与伊朗政府有关的黑客劫持了宾夕法尼亚州一家市政供水局和美国其他多个州的供水公司的ICS系统，这一事件突显了口令管理不善的严重后果。

1、未授权访问和控制

口令泄露可能导致攻击者获得根级或超级用户访问权限，这种访问权限在恶意行为者手中可能引发灾难性的后果。攻击者不仅可以控制工业系统，植入深度伪造或恶意软件，还可能进行横向移动，攻击其他系统或设备。例如，Dragos公司发现的Unitronics Vision Legacy系列PLC中的高严重性漏洞允许攻击者以纯文本形式获取设备的“信息模式”口令。

2、数据泄露和敏感信息曝光

口令泄露还可能导致敏感数据的曝光，例如企业的生产数据、客户信息、环境监测数据等。这些数据一旦落入不法分子手中，可能被用于商业间谍活动、勒索、诈骗等犯罪行为。Campbell Scientific的漏洞案例表明，不安全的口令管理可能导致环境监测数据泄露，从而影响到环境保护和监管工作的正常进行。

3、物理安全风险

ICS/OT系统通常直接控制着物理设备，如生产线、发电设备、水处理设施等。一旦这些系统被攻击者控制，不仅会造成经济损失，还可能威胁到人身安全和公共安全。例如，如果攻击者通过口令泄露控制了供水系统，可能会导致水质污染，危及公共健康。

4、生产和运营中断

口令泄露导致的未授权访问和系统控制还可能引发生产和运营的中断。攻击者可以通过远程操作停止设备、修改生产参数、触发安全保护机制等方式，直接影响生产效率和产品质量。对于依赖连续生产的工业企业，这样的中断可能导致巨大的经济损失和市场信誉的下降。

5、法律和合规风险

企业如果因口令泄露导致数据泄露或系统被攻击，可能面临法律诉讼和监管处罚。许多国家和地区对数据保护和网络安全有严格的法律要求，一旦企业未能履行相关义务，将会面临高额罚款和法律责任。同时，合规要求也促使企业必须加强口令管理和网络安全防护，否则可能无法通过审计和认证，影响业务运营。

三、解决方案和最佳实践

1、改进口令管理策略

为了解决与口令泄露相关的问题，企业需要实施更严格的口令管理策略。包括定期更换口令、使用复杂且独特的口令、避免重复使用相同的口令以及使用口令管理工具来安全存储和管理口令。普华永道的Nicolai Grødum强调，虽然口令管理问题常见，但这些问题是可以预防的，通过改进管理实践，企业可以显著降低口令泄露的风险。

2、实施多因素身份验证

多因素身份验证（MFA）是一种有效的安全措施，可以显著提高系统的安全性。通过要求用户在登录时提供多种验证信息，MFA可以有效防止攻击者仅凭获取的口令进行未授权访问。DeNexus的Jose Seara指出，多因素身份验证是工业环境中必须部署的安全最佳实践之一。