在過去的二十年間，各行業(yè)或多或少地從電信技術(shù)的進步中受益，當(dāng)前5G時代的到來催化了工業(yè)環(huán)境的變革，讓越來越多的企業(yè)選擇加大對非公共網(wǎng)絡(luò)(NPN，通常也稱為園區(qū)網(wǎng)絡(luò))的投資。4G / 5G園區(qū)網(wǎng)絡(luò)有助于滿足各行業(yè)不斷增長的需求，以實現(xiàn)更高的可用性、更低的延遲、更好的隱私安全，但同時也伴隨著各類安全問題的產(chǎn)生。安全公司Trendmicro深入研究了部署4G / 5G園區(qū)網(wǎng)絡(luò)所涉及到的安全風(fēng)險和影響，通過模擬實際環(huán)境來測試不同的攻擊情形，并總結(jié)了如何針對這些威脅進行防御。

4G / 5G園區(qū)網(wǎng)絡(luò)

園區(qū)網(wǎng)絡(luò)限于一個地理區(qū)域內(nèi)，并且還受到光纖電纜和移動網(wǎng)絡(luò)的限制。

在我們的研究中，我們僅使用了園區(qū)網(wǎng)絡(luò)中最小數(shù)量的設(shè)備。它的核心網(wǎng)絡(luò)為本地實施的園區(qū)網(wǎng)絡(luò)或與外部移動服務(wù)提供商的連接。它有一個基站，其他組件包括工業(yè)路由器、控制網(wǎng)絡(luò)、現(xiàn)場網(wǎng)絡(luò)和多個可編程邏輯控制器 (PLC)。本篇研究論文對我們所建立的園區(qū)網(wǎng)絡(luò)和使用的核心網(wǎng)絡(luò)進行了更詳細的描述，下文所述的所有攻擊場景也基于此。

風(fēng)險因素

我們演示的攻擊場景源自受感染的核心網(wǎng)絡(luò)，因此需要首先展示攻擊者滲透到核心網(wǎng)絡(luò)的流程。我們確定了可以使攻擊者攻陷核心網(wǎng)絡(luò)的四個切入點：

• 托管核心網(wǎng)絡(luò)服務(wù)的服務(wù)器：由于園區(qū)網(wǎng)絡(luò)使用標(biāo)準服務(wù)器(COTS x86服務(wù)器)，因此攻擊者可以利用服務(wù)器中一些已披露的漏洞。
• 虛擬機(VM)或容器：定期補丁的VM和容器會縮小此選項的攻擊面，但虛擬機和容器不會常打補丁，常見的錯誤配置也可能導(dǎo)致無法預(yù)料的風(fēng)險和威脅。
• 網(wǎng)絡(luò)基礎(chǔ)設(shè)施：未打補丁的基礎(chǔ)設(shè)施設(shè)備可被用于滲透公司網(wǎng)絡(luò)，攻擊者可以使用托管路由器、交換機、防火墻甚至網(wǎng)絡(luò)安全設(shè)備來攔截數(shù)據(jù)包。
• 基站：基站中可能存在的漏洞，讓攻擊者滲透到核心網(wǎng)絡(luò)。

受損核心網(wǎng)絡(luò)的常見攻擊情形

通過這四個入口點，攻擊者無需高深的技術(shù)就能從IP網(wǎng)絡(luò)發(fā)起攻擊。下文討論了一些可測試的常見攻擊情形。需要注意的是，這些場景表明，一個被破壞的核心網(wǎng)絡(luò)可能成為影響工業(yè)控制系統(tǒng)(ICS)或造成后續(xù)破壞的關(guān)鍵突破口。

MQTT劫持

現(xiàn)代ICS支持通過MQTT協(xié)議向云發(fā)送讀數(shù)。為了保障安全性，可以使用密碼和TLS保護MQTT，不過在實際使用中很少這樣做。如果攻擊者成功地改變了向云發(fā)送的遙測技術(shù)或信息，那么就能夠影響分析算法和統(tǒng)計數(shù)據(jù)。攻擊者還可以攔截MQTT來暫時隱藏他們在遠程站點中的舉動。

我們在論文中研究中模擬的對鋼鐵廠的攻擊能說明了這一點，我們對該鋼鐵廠的溫度傳感器讀數(shù)的MQTT消息進行了截取和修改，讓顯示溫度變得實際溫度不一致，且這一變化不會反映在外部審計日志中。

Modbus / TCP劫持

虛擬專用網(wǎng)通常用于遠程站點和控制網(wǎng)絡(luò)之間，但在不使用虛擬專用網(wǎng)，或者將Modbus服務(wù)器直接連接到園區(qū)網(wǎng)絡(luò)的情況下，攻擊者可以編寫Modbus解析器來更改數(shù)據(jù)包中的Modbus函數(shù)代碼和數(shù)據(jù)值。

這將導(dǎo)致類似MQTT劫持的場景。在模擬攻擊場景中，發(fā)送到鋼鐵廠控制人機界面的數(shù)據(jù)是利用這種手法來操縱的。即使在壓力、氣流、溫度都超過正常水平的情況下，控制室的操作人員也發(fā)現(xiàn)不了任何問題，從而對影響后續(xù)的工業(yè)制造。

遠程桌面攻擊

遠程桌面廣泛用于遠程施工，工業(yè)環(huán)境中主流系統(tǒng)是VNC或Microsoft遠程桌面。雖然遠程桌面會話通常通過密碼進行身份驗證，但這并不意味著它們是加密的。根據(jù)配置的加密選項，位于入口點的攻擊者有機會嗅探RDP端口3389或VNC端口5900，以便記錄擊鍵和密碼。

例如，攻擊者可以通過對核心網(wǎng)絡(luò)中的RDP執(zhí)行降級攻擊來嗅探擊鍵。至于VNC，帶有連接密碼的未加密VNC可以被強行使用，并且仍然可以記錄擊鍵。

在對鋼鐵廠的模擬攻擊場景中，此情形下的攻擊者將能夠通過VNC獲得訪問權(quán)。這為他們提供了許多不同的選擇，例如可以選擇直接攔截PLC或安裝勒索軟件。

這些只是我們能夠在園區(qū)網(wǎng)絡(luò)上測試的幾個常見攻擊場景中的示例。我們的研究論文給出了更多攻擊場景的技術(shù)性描述，除了前面描述的三種外，還討論了只能通過蜂窩網(wǎng)絡(luò)傳輸?shù)姆涓C特定攻擊方案，了解蜂窩特定的攻擊場景是縮小IT、OT和電信技術(shù)領(lǐng)域之間知識差距的良好起點。

安全建議

在未來兩三年內(nèi)，可預(yù)見會有更多的工業(yè)系統(tǒng)部署4G / 5G園區(qū)網(wǎng)絡(luò)。4G園區(qū)網(wǎng)絡(luò)也將在不久的將來過渡到5G。這些變化會對安全性產(chǎn)生巨大的影響，并進一步影響了IT和OT專家在工業(yè)系統(tǒng)中所扮演的角色。這些專家需要根據(jù)新的三重技術(shù)(IT，OT和現(xiàn)在的通信技術(shù)(CT))的融合來擴展自己的知識。以下是4G / 5G園區(qū)網(wǎng)絡(luò)的一些常規(guī)安全建議：

• 使用應(yīng)用程序?qū)蛹用?，例如HTTPS，MQTTS，LDAPS或任何設(shè)計良好的工業(yè)協(xié)議。
• 依靠適當(dāng)?shù)木W(wǎng)絡(luò)隔離，VLAN和IPsec來保護運行園區(qū)網(wǎng)絡(luò)的工業(yè)設(shè)施。
• 補丁程序可用后，立即為操作系統(tǒng)、路由器和基站應(yīng)用最新的補丁。
• 由于LTE和5G不能自動滿足加密需求，請使用虛擬專用網(wǎng)或IPsec幫助保護遠程通信信道，包括遠程站點和基站。

本文翻譯自：

https://www.trendmicro.com/en_us/research/21/e/threats-from-a-compromised-4g5g-campus-network.html