CISA（美國網絡安全和基礎設施安全局）近日發布安全警告稱，黑客通過侵入在線暴露的Unitronics可編程邏輯控制器(PLC)入侵了美國賓夕法尼亞州阿利基帕市的供水設施，試圖提高水泵壓力，導致該市水務部門被迫關閉系統，斷開PLC的互聯網連接，切換為手動操作。

PLC（可編程邏輯控制器）是工業網絡環境中至關重要的控制和管理設備，也是工控系統安全的“紅線”和最后一道防線，黑客一旦入侵PLC可能會造成嚴重后果，例如通過操縱設備改變化學劑量而造成供水污染。

在2021年的一次攻擊中，一名黑客侵入了佛羅里達州奧德馬爾市的水處理系統，并將氫氧化鈉的濃度提高到極其危險的水平（100倍），幸虧被操作員及時發現而未能釀成大禍。但在那次攻擊中，黑客只是通過TeamViewer軟件遠程控制操作員的電腦，并未直接控制PLC。

水務系統遭受網絡攻擊的其他風險包括系統中斷導致的供水中斷，以及水泵超載或開關閥門對基礎設施造成物理損壞。

CISA證實，此次針對賓夕法尼亞州阿利基帕市水務系統的黑客攻擊并未損害社區的飲用水安全。但在接受CNN采訪時，賓夕法尼亞州水務公司表示將替換被攻擊的以色列制造的PLC，以防攻擊事件再次發生。

CISA在安全通告中寫道：“攻擊者正在針對與供水設施相關的PLC，其中包括美國供水設施中使用的Unitronics PLC。受影響城市的水務部門立即關閉了系統并切換為手動操作——該城市的飲用水或供水沒有已知的風險。”

CISA強調，黑客利用了自來水公司糟糕的安全管理措施，通過人機界面(HMI)攻擊Unitronics  Vision系列PLC，而不是利用產品上的零日漏洞。

雖然CISA的報告沒有透露攻擊者的信息，但根據Cyberscoop的報道，此次攻擊是由伊朗黑客組織Cyber Av3ngers實施的，后者成功劫持了以色列制造的Unitronics PLC，并在電腦屏幕傷顯示了“打倒以色列”的信息。

Cyber Av3ngers堪稱“水務系統攻擊專家”，此前通過入侵以色列科技公司Unitronics制造的水壓監測設備已經入侵了以色列數十個供水系統。

Cyber Av3ngers在X發布的一篇推文中寫道：“一旦我們獲得了他們的網絡的訪問權限，就可以操縱、擦除和破壞所有工業設備，例如SCADA系統、PLC、傳感器和HMI。”

CISA給水務系統管理員的安全緩解措施是：

• 替換默認的Unitronics PLC密碼，確保不使用“1111”這樣的弱密碼。
• 為對運營技術(OT)網絡的所有遠程訪問（包括來自IT和外部網絡的訪問）實施MFA（多重身份驗證）。
• 斷開PLC與開放互聯網的連接。如果需要遠程訪問，使用防火墻/VPN設置來控制訪問。
• 定期備份邏輯和配置，以便在遭受勒索軟件攻擊時快速恢復。
• 避免使用默認TCP端口20256，該端口通常是網絡攻擊者的目標。如果可能，使用不同的TCP端口并使用PCOM/TCP過濾器以提高安全性。
• 將PLC/HMI固件更新至Unitronics提供的最新版本。

此前，CISA曾于2023年9月推出了針對供水設施等關鍵基礎設施的免費安全掃描計劃，使用CISA的代理運行專門的掃描儀，識別設施暴露在互聯網上的端點，并發現已知被黑客利用的漏洞或錯誤配置。

然后，CISA每周向訂閱用戶發送包含行動建議的報告（上圖），同時進行后續掃描以確定水務公司是否已采取必要措施來緩解先前披露的問題。

ISA（國際自動化協會）全球網絡安全聯盟的網絡安全專家和自動化工程師曾在2021年發布過一個開源工控系統PLC安全指南（https://www.plc-security.com/），提供了一個PLC安全清單，其中包含20條建議，用于在工業網絡發生安全事件或配置錯誤時提高PLC安全彈性。