工业运营的关键安全挑战

主要观点

• 工业运营安全： 操作技术（OT）设施正遭受不断增加的攻击，威胁行为者专注于难以修补的设备。
• 攻击漏洞： 台湾制造商Chiyu Technology的OT转换器被发现存在跨站脚本（XSS）漏洞，可能与中国有关。
• 自动化的脆弱性： 许多机构对OT资产的忽视使其容易受到攻击。
• 机器人网络的演变： 机器人网络（如Mirai）已经扩展出复杂功能，并开始利用SSH协议进行更精细的攻击。

根据Forescout在周二发布的研究，运行操作技术（OT）设备的关键基础设施设施现已成为威胁行为者的「常驻目标」，这些行为者寻求破坏工业运营。攻击者专注于OT和物联网（IoT）设备，因为这些设备通常难以修补。

例如，Forescout观察到，攻击者利用了影响台湾制造商ChiyuTechnology的OT转换器的跨站脚本（XSS）漏洞，这引发了对可能与中国有关的攻击者的推测。Forescout表示，该漏洞（CVE-2021-31250）主要影响Chiyu的转换器，这些转换器通常用于将串行设备（如访问控制系统、CNC机械和流量计）连接到IP网络进行监控和控制。

ElisaCostante，Forescout的研究副总裁表示：「我们认为这是一种更具针对性的攻击。」她补充道：「台湾制造商成为目标的事实更为有趣，因为这意味着它可能与中国的活动有关连。」

Costante还提到，研究人员观察到攻击者使用与电力行业相关的协议来建立连接并利用OT设备。除了Modbus，攻击者还使用了DNP3、MMS和Synchrophasor等协议，针对那些通常弱身份验证和加密的OT设备和系统。

“攻击者不断探测这些设备的弱点，而许多组织通常对此视而不见，因为他们认为自己没有OT资产需要保护，”Forescout报告指出。“事实是，建筑自动化和甚至像Modbus这样的工业自动化协议现在几乎在每个组织中都可以找到，且都成为攻击者的目标。”

机器人网络的复杂性增强

Forescout补充说，机器人网络的能力已经扩展，开始针对物联网（IoT）设备进行横向移动，以在企业网络中进行渗透。Costante表示，安全研究人员需要认识到，像Mirai这样的机器人网络已经演变。自2016年首次出现以来，Mirai机器人网络主要通过Telnet协议攻击IP摄像头，利用默认密码发起拒绝服务攻击。如今，这些网络已扩展到使用SSH协议攻击医疗设备和网络附加存储，以植入其他类型的恶意软件，例如勒索软件。

“它们正在扩展自己的能力并使用SSH协议攻击其他漏洞并进行横向移动，”Costante表示。“当人们听到机器人网络时，他们会轻视它们，但他们真的需要仔细查看，因为它们被以更复杂的方式使用，目标是物联网。”

AppViewX的首席解决官MuraliPalanisamy解释说，随著物联网市场的快速发展，OT安全性和SSH安全性这两个领域一直被忽视。尽管进行了增强和额外的安全控制（例如SSH证书），OpenSSH和SSH