CWE 4.7中的新視圖 -- 工業(yè)控制系統(tǒng)的安全漏洞類別

1. CWE 4.7的變化

變化類型

Version 4.6

Version 4.7

弱點(diǎn)

924

926

分類

326

351

視圖

46

47

廢棄

61

62

匯總

1357

1386

CWE今年的第一個(gè)版本在5/1前發(fā)布了，做為軟件安全的重要分類標(biāo)準(zhǔn)，我們來看下這個(gè)版本有那些變化。

從匯總圖可以看出，新增了3個(gè)弱點(diǎn)，廢棄了一個(gè)弱點(diǎn)；新增1個(gè)視圖，25分類。 從這些數(shù)字的變化，我們不難看到，又有新視圖了，到底這個(gè)新視圖是關(guān)于什么的方面的缺陷呢？

下面我們來的看下具體弱點(diǎn)的變動。

1.1. 新增的CWE弱點(diǎn)

1.1.1.CWE-1357: 依賴不受控制的組件

?

弱點(diǎn)類型：類(Class)
這個(gè)弱點(diǎn)的類型是類(Class)。具體的弱點(diǎn)的類型介紹可參見《話說CWE 4.2的新視圖》中關(guān)于弱點(diǎn)類型的介紹部分。

?

弱點(diǎn)的描述
許多硬件和軟件產(chǎn)品是通過多個(gè)較小的組件組合成一個(gè)較大的實(shí)體來構(gòu)建的。這些組件可能由外部供貨商提供或無法修改，即這里指出的的“不受控制”。例如，硬件組件可能由單獨(dú)的制造商構(gòu)建，或者產(chǎn)品可能使用由與產(chǎn)品供應(yīng)商沒有正式合同的人開發(fā)的開源庫?；蛘?，組件的供應(yīng)商由于不再營業(yè)，導(dǎo)致無法提供組件的更新或更改。
這種對“不受控制”組件的依賴，意味著如果在不受控制的組件中發(fā)現(xiàn)安全風(fēng)險(xiǎn)，產(chǎn)品供應(yīng)商不一定能夠修復(fù)它們。

?

弱點(diǎn)間的關(guān)系
在研究者視圖(CWE-1000)中，此弱點(diǎn)被放在編程規(guī)范違背(CWE-710)下，并包含已有的兩個(gè)CWE:使用未維護(hù)的第三方組件( CWE-1104)和
依賴不可更新的組件(CWE-1329)進(jìn)行了歸類。

?

缺陷舉例

CVE-2020-9054
IoT設(shè)備在發(fā)生命令注入問題后，因?yàn)楫a(chǎn)品已經(jīng)終止服務(wù)而不能及時(shí)完成補(bǔ)丁的修復(fù)。

消減措施
通過維護(hù)軟件物料清單(SBOM), 掌握軟件組件和依賴項(xiàng)清單、以及有關(guān)這些組件的信息以及它們的層次關(guān)系。持續(xù)監(jiān)控每個(gè)產(chǎn)品組件的變化，特別是當(dāng)出現(xiàn)新的漏洞、服務(wù)終止 (EOL) 時(shí)，及早采取措施。

?

1.1.2.CWE-1384: 極端物理環(huán)境條件處理不當(dāng)

?

弱點(diǎn)的描述
在極端物理環(huán)境下，產(chǎn)品無法正確檢測和處理，例如溫度、輻射、濕度、功率或其他物理現(xiàn)象。

?

注
屬于硬件導(dǎo)致的問題，不做過多的分析。

?

1.1.3.CWE-1385: WebSockets 中缺少來源驗(yàn)證

·??????? 弱點(diǎn)的描述
WebSockets在客戶端和服務(wù)器之間提供雙向低延遲通信（接近實(shí)時(shí)）。 WebSockets 與 HTTP 的不同之處在于連接是長期存在的，因?yàn)橥ǖ缹⒈３执蜷_狀態(tài)，直到客戶端或服務(wù)器準(zhǔn)備好發(fā)送消息，而在 HTTP 中，一旦發(fā)生響應(yīng)（通常立即發(fā)生），事務(wù)完成。

WebSocket可以在端口80和443上利用現(xiàn)有的HTTP協(xié)議（不限于 HTTP）。 WebSockets可以發(fā)出不受基于瀏覽器的保護(hù)機(jī)制限制的跨域請求，例如同源策略(SOP)或跨域資源共享(CORS)。如果沒有明確的來源驗(yàn)證，這會使 CSRF攻擊的危害更大。

?

弱點(diǎn)間的關(guān)系
在研究者視圖(CWE-1000)中，此弱點(diǎn)被放在訪問控制不恰當(dāng)(CWE-284)，以及保護(hù)機(jī)制失效(CWE-693)下的對數(shù)據(jù)真實(shí)性的驗(yàn)證不充分(CWE-345) 下的源驗(yàn)證錯誤(CWE-346)下面。

?

缺陷舉例

?

CVE-2020-25095
LogRhythm 的管理平臺(PM) 7.4.9的Web 界面如果登錄PM的用戶在同一瀏覽器會話中訪問惡意站點(diǎn)，則該站點(diǎn)可以執(zhí)行 CSRF 攻擊以創(chuàng)建從受害者客戶端到易受攻擊的PM服務(wù)器的WebSocket。一旦創(chuàng)建了套接字，惡意站點(diǎn)就可以在登錄用戶的上下文中與易受攻擊的Web 服務(wù)器進(jìn)行交互。這可以包括導(dǎo)致命令執(zhí)行的 WebSocket，從而造成跨站點(diǎn) WebSocket劫持(CSWH)。

?

消減措施

?

通過在 WebSocket 握手期間驗(yàn)證“Origin”標(biāo)頭來保護(hù)類似跨域資源共享(CORS)的訪問限制；

在建立 WebSocket 連接之前對用戶身份驗(yàn)證。例如使用WS庫中的“verifyClient”函數(shù)。

1.2. 刪除的CWE弱點(diǎn)

1.2.1.CWE-365: 廢棄: Switch中的條件競爭

·??????? 刪除原因
此條目可能最初是基于對原始源材料的誤解而創(chuàng)建的。最初的來源旨在解釋在使用線程時(shí)，switch控制表達(dá)式使用的數(shù)據(jù)或變量可能會在不同線程的執(zhí)行之間發(fā)生變化，那么切換是如何不可預(yù)測的。 另外CWE-367 已經(jīng)涵蓋了這個(gè)弱點(diǎn)。

注：CWE 一樣會出現(xiàn)理解歧義，隨著認(rèn)識的統(tǒng)一會形成新的統(tǒng)一，所以不糾結(jié)，這是人類認(rèn)知的進(jìn)化過程。

2. CWE的新視圖

2.1.CWE-1358視圖: 安全能源基礎(chǔ)設(shè)施執(zhí)行工作組（SEI EFT）給出的工業(yè)控制系統(tǒng)（ICS）中存在的安全缺陷分類

該視圖中的CWE條目是參照美國安全能源基礎(chǔ)設(shè)施執(zhí)行工作組(Securing Energy Infrastructure Executive Task Force (SEI ETF))在2022年3月發(fā)布的《工業(yè)控制系統(tǒng)(ICS)中存在安全缺陷類別(Categories of Security Vulnerabilities in ICS)》。 可見該視圖聚焦在工業(yè)控制系統(tǒng)(ICS)中存在弱點(diǎn)問題上。但由于CWE以前一直強(qiáng)調(diào)的是企業(yè)IT軟件的弱點(diǎn)，并未涵蓋工業(yè)控制中的弱點(diǎn)問題，所以該視圖中的弱點(diǎn)是基于“相近的IT弱點(diǎn)”的方式建立的，在未來的CWE版本中，這些關(guān)系可能會發(fā)生變化。

該視圖包含5個(gè)大類，20個(gè)小類。

2.2. 背景介紹

制造商一直在尋找提高生產(chǎn)效率、降低成本、提升監(jiān)控質(zhì)量以確保符合標(biāo)準(zhǔn)的方法。因此，全球的制造工廠采用和部署了越來越多的資產(chǎn)和設(shè)備連接到網(wǎng)絡(luò)的技術(shù)，用于收集生產(chǎn)過程的數(shù)據(jù)，并通過分析這些數(shù)據(jù)來發(fā)現(xiàn)生產(chǎn)流程趨勢或者對設(shè)備故障能夠進(jìn)行預(yù)測。

2.2.1. 工業(yè)控制系統(tǒng)(IndustrialControl Systems(ICS))

工業(yè)控制系統(tǒng)通常用于描述硬件和軟件與網(wǎng)絡(luò)連接的集成，以支持關(guān)鍵基礎(chǔ)設(shè)施。ICS技術(shù)包括但不限于監(jiān)控和數(shù)據(jù)采集（SCADA）和分布式控制系統(tǒng)（DCS）、工業(yè)自動化和控制系統(tǒng)（IACS）、可編程邏輯控制器（PLC）、可編程自動化控制器（PAC）、遠(yuǎn)程終端單元（RTU）、控制服務(wù)器、智能電子設(shè)備（IED）和傳感器。通常出現(xiàn)在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中。

ICS主要用于電力，水利，石油，天然氣和數(shù)據(jù)等行業(yè)?；趶倪h(yuǎn)程站點(diǎn)獲取的數(shù)據(jù)，自動化或者操作者驅(qū)動的監(jiān)控命令可以推送到遠(yuǎn)程站點(diǎn)的控制設(shè)備，這種設(shè)備通常被稱為現(xiàn)場設(shè)備。現(xiàn)場設(shè)備控制諸如開閉閥和斷路器的本地操作，從傳感器系統(tǒng)收集數(shù)據(jù)，并監(jiān)測本地環(huán)境的報(bào)警條件。

2.2.2. 運(yùn)營技術(shù)(Operational Technology(OT))

運(yùn)營技術(shù)可定義為：對企業(yè)的各類終端、流程和事件進(jìn)行監(jiān)控或控制的軟硬件技術(shù)，含數(shù)據(jù)采集和自動控制技術(shù)。OT 既包括硬件設(shè)施（如機(jī)器人、電機(jī)、閥門、數(shù)控機(jī)床等），也包括對這些設(shè)施進(jìn)行控制的各種軟件技術(shù)。運(yùn)營技術(shù)實(shí)質(zhì)為電子、信息、軟件與控制技術(shù)的綜合運(yùn)用。

OT 應(yīng)用于各種行業(yè)，包括制造業(yè)、石油和天然氣、發(fā)電和配電、航空、海事、鐵路和公共事業(yè)。

2.2.3 運(yùn)營技術(shù)安全

OT安全主要是由Gartner提出，Gartner將OT安全定義為, 借助實(shí)踐和技術(shù)來：

·??????? (a) 保護(hù)人員、資產(chǎn)和信息;

·??????? (b) 監(jiān)視和/或控制物理設(shè)備、流程和事件;

·??????? ? 發(fā)起企業(yè) OT 系統(tǒng)狀態(tài)更改。
使用軟硬件來監(jiān)視和控制物理流程、物理設(shè)備和基礎(chǔ)設(shè)施。運(yùn)營技術(shù)系統(tǒng)存在于許多資產(chǎn)密集型產(chǎn)業(yè)中，可以執(zhí)行從監(jiān)視關(guān)鍵基礎(chǔ)設(shè)施 (CI) 到控制生產(chǎn)車間機(jī)器人等各種任務(wù)。

2.2.4. ICS/OT和IT安全的差別

·??????? ?

IT和ICS/OT網(wǎng)絡(luò)差別

IT和OT造成的影響差別

?

IT 事件潛在影響

ICS/OT 事件潛在影響

業(yè)務(wù)應(yīng)用程序不可用（商業(yè)/組織）

關(guān)鍵基礎(chǔ)設(shè)施不可用（可能造成區(qū)域中斷）

數(shù)字?jǐn)?shù)據(jù)損壞

物理操作過程失去控制

數(shù)字?jǐn)?shù)據(jù)丟失

人員安全，生命損失

2.2.5 信息技術(shù)(IT)、運(yùn)營技術(shù)(OT)的融合趨勢

在工業(yè) 3.0 時(shí)代，運(yùn)營技術(shù)(OT)和信息技術(shù)(IT) 具有相互獨(dú)立的界面，二者沒有融合的傾向。進(jìn)入工業(yè) 4.0 時(shí)代，運(yùn)營技術(shù)(OT)和信息技術(shù)(IT)的融合趨勢正成為工業(yè)數(shù)字化轉(zhuǎn)型和制造業(yè)高質(zhì)量發(fā)展的關(guān)鍵，特別是計(jì)算技術(shù)的融合成為了工業(yè)數(shù)字化轉(zhuǎn)型與升級的重要方向。運(yùn)營技術(shù)(OT)和信息技術(shù)(IT)以及通信技術(shù)（CT）正在深度融合，使得工業(yè)互聯(lián)網(wǎng)初步實(shí)現(xiàn)了數(shù)據(jù)和實(shí)體的全面聯(lián)接，推動服務(wù)與數(shù)據(jù)創(chuàng)新，促進(jìn)數(shù)據(jù)價(jià)值實(shí)現(xiàn)，也使實(shí)時(shí)決策成為可能。目前，工業(yè)物聯(lián)網(wǎng)（IIoT）、工業(yè)互聯(lián)網(wǎng)、基于云的部署等方面是 OT 和 IT 融合的研究重點(diǎn)。

·??????? IT、OT的融合趨勢

2.3. 對ICS/OT的攻擊

互聯(lián)網(wǎng)帶動著各行各業(yè)的快速發(fā)展。萬物互聯(lián)乃至智能化的發(fā)展對工業(yè)領(lǐng)域也帶來了極大的便捷，與之伴隨的則是互聯(lián)網(wǎng)的傳統(tǒng)弊病，網(wǎng)絡(luò)安全問題。工業(yè)領(lǐng)域由閉塞的環(huán)境走向互聯(lián)，因?yàn)楣裘娴脑黾樱菀装l(fā)生網(wǎng)絡(luò)安全問題。

2.3.1. 震網(wǎng)事件

2006-2010年美、以情報(bào)和軍情領(lǐng)域的軟件和網(wǎng)絡(luò)專家，工業(yè)控制和核武器的專家編制震網(wǎng)病毒，經(jīng)歷了5年的持續(xù)開發(fā)和改進(jìn)，對伊朗納坦茲鈾離心設(shè)施的可編程邏輯控制器（PLC）控制系統(tǒng)進(jìn)行攻擊，修改了離心機(jī)壓力參數(shù)、離心機(jī)轉(zhuǎn)子轉(zhuǎn)速參數(shù)，導(dǎo)致大量離心機(jī)癱瘓，鈾無法滿足武器要求，幾乎永久性遲滯了伊朗核武器計(jì)劃。
震網(wǎng)被認(rèn)為是第一個(gè)以現(xiàn)實(shí)世界中的關(guān)鍵工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的惡意代碼，并達(dá)到了預(yù)設(shè)的攻擊目標(biāo)，這是第一個(gè)“網(wǎng)絡(luò)空間”意義上的重大攻擊事件，而非傳統(tǒng)的網(wǎng)絡(luò)攻擊事件。

2.3.2. 烏克蘭電力部門遭受到惡意代碼攻擊

2015年12月23日，烏克蘭電力部門遭受到惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報(bào)道稱：至少有三個(gè)電力區(qū)域被攻擊，并于當(dāng)?shù)貢r(shí)間15時(shí)左右導(dǎo)致了數(shù)小時(shí)的停電事故； 攻擊者入侵了監(jiān)控管理系統(tǒng)，超過一半的地區(qū)和部分伊萬諾-弗蘭科夫斯克地區(qū)斷電幾個(gè)小時(shí)。因遭到入侵，導(dǎo)致7個(gè)110KV的變電站和23個(gè)35KV的變電站出現(xiàn)故障，導(dǎo)致80000用戶斷電。

2.3.3. 奧爾德斯馬水處理設(shè)施安全事故

2021年2月5日，有黑客未經(jīng)授權(quán)遠(yuǎn)程訪問了位于佛羅里達(dá)州奧爾德斯馬的Bruce T. Haddock水處理廠的操作員工作站，該工廠位于佛羅里達(dá)州坦帕市西北約15英里處。根據(jù)皮涅拉斯縣警長辦公室描述，身份不明的網(wǎng)絡(luò)攻擊者當(dāng)天在兩個(gè)不同的場合訪問了操作員工作站，時(shí)間相隔大約五小時(shí)。

·??????? 在當(dāng)天上午大約 8 點(diǎn)的第一次非法入侵期間，工廠操作員觀察到鼠標(biāo)光標(biāo)在操作員站的屏幕上移動，并認(rèn)為可能是管理員正在監(jiān)視系統(tǒng)（因?yàn)檫^去發(fā)生過這種情況）。

·??????? 當(dāng)天下午 1 點(diǎn)半左右，操作員觀察到有人再次訪問了系統(tǒng)，這次操作員終于可以確定異常。攻擊者操控了鼠標(biāo)，將指針挪到了控制水處理的軟件上，并展開了持續(xù) 3~5 分鐘的操作。網(wǎng)絡(luò)攻擊者將氫氧化鈉（堿液）的設(shè)定值從100 ppm更改成11,100 ppm，然后退出系統(tǒng)。操作員看到了變化，立即將氫氧化鈉的設(shè)定值改回了100 ppm。

2.3.4. Claroty的《ICS風(fēng)險(xiǎn)及漏洞報(bào)告 2H:2021》

Claroty被著名的研究機(jī)構(gòu)和咨詢公司FORRESTER評為2021年第四季度工業(yè)控制系統(tǒng)安全解決方案（Industrial Control Systems (ICS) Security Solutions）的領(lǐng)導(dǎo)者。Claroty研究部門最近發(fā)布的2021下半年《ICS風(fēng)險(xiǎn)及漏洞報(bào)告》，報(bào)告全面分析了2021年下半年公開披露的工業(yè)控制系統(tǒng)漏洞，包括供應(yīng)商、安全研究人員、以及其他組織的專家發(fā)現(xiàn)的漏洞。

·??????? ?

2021年共計(jì)披露了1439個(gè)ICS漏洞，比2020年的942個(gè)增加了53%。

2021年漏洞影響147家ICS供應(yīng)商，比2020年的102家增加了44%。

?

2.4. NIST SP800-82 OT網(wǎng)絡(luò)安全指南

美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)4月26日發(fā)布了NIST SP 800-82和3版的一份初步公開草案，該草案指導(dǎo)如何提高運(yùn)營技術(shù)(OT) 系統(tǒng)的安全性，同時(shí)滿足其性能、可靠性和安全要求。更新后的NIST SP 800-82文檔提供了OT和典型系統(tǒng)拓?fù)涞母攀?，識別了OT支持的組織使命和業(yè)務(wù)功能的典型威脅，描述了OT中的典型漏洞，并提供了推薦的安全保護(hù)措施和應(yīng)對措施來管理相關(guān)風(fēng)險(xiǎn)。

?

草案中OT典型的漏洞包括：

?

l? 表 15：體系結(jié)構(gòu)和設(shè)計(jì)漏洞

l? 表 16：配置和維護(hù)漏洞

l? 表 17：物理漏洞

l? 表 18：軟件開發(fā)漏洞

l? 表 19：通信和網(wǎng)絡(luò)配置漏洞

l? 表 20：傳感器、最終元件和資產(chǎn)管理漏洞

?

其中軟件開發(fā)造成的漏洞，如下：

?

缺陷

描述

不正確的輸入校驗(yàn)

OT 軟件可能無法正確驗(yàn)證用戶輸入或接收的數(shù)據(jù)確保有效性。無效數(shù)據(jù)可能導(dǎo)致許多漏洞，包括緩沖區(qū)溢出、命令注入、跨站點(diǎn)腳本和路徑遍歷

默認(rèn)情況下未啟用已安裝的安全功能

隨產(chǎn)品一起安裝的安全功能如果它們未啟用或被標(biāo)識為已禁用

軟件中的身份驗(yàn)證、特權(quán)和訪問控制不足

未經(jīng)授權(quán)訪問配置和編程軟件可能會提供損壞設(shè)備的能力

·??????? 注：這些漏洞，也是目前軟件安全危害最大的漏洞類型。

3. 結(jié)論

·??????? 隨著供應(yīng)鏈攻擊的加劇，人們已經(jīng)提高了對供應(yīng)鏈問題的防范, CWE以加入了相關(guān)的缺陷分類；

·??????? 隨著IT和OT的融合，企業(yè)在數(shù)字化轉(zhuǎn)型中，需要對工業(yè)控制中可能造成的網(wǎng)絡(luò)攻擊引起足夠的重視和防范；

·??????? OT的安全會對基礎(chǔ)設(shè)施造成影響更為廣泛的災(zāi)害，特別是供電、供水、運(yùn)輸?shù)然A(chǔ)設(shè)施的破壞；

·??????? 美國通過SP800-82 OT網(wǎng)絡(luò)安全指南來提升運(yùn)營技術(shù)(OT) 系統(tǒng)的性能、可靠性和安全要求；

·??????? CWE 4.7版本的工業(yè)控制系統(tǒng)（ICS）中存在的安全缺陷分類，為我們提供了發(fā)現(xiàn)OT領(lǐng)域的安全問題和防范提供了系統(tǒng)的視角。

?