摘要：工業網絡安全公司Claroty的研究人員在美國OPTO 22公司的SoftPAC虛擬可編程自動化控制器(PAC)中發現了一組漏洞，可使運營技術(OT)網絡受到攻擊。SoftPAC是一種基于軟件的自動化控制器，可以托管在Windows設備上，據供應商稱，它對于需要更多文件存儲、更多計算能力或經常訪問文件的應用程序特別有用。SoftPAC具有三個主要組件：監視器、代理和虛擬控制器本身。監視器允許用戶啟動和停止PAC服務以及更新SoftPAC固件。代理充當監控器和PAC之間的中介。這五個漏洞的成因，與缺少對固件更新文件名的清理、缺少對固件文件簽名的驗證、通過開放端口的通信、允許DLL劫持的不受控制的搜索路徑以及缺少認證或授權機制等有關。這些漏洞可以使遠程攻擊者訪問SoftPAC代理，以向PAC發送啟動或停止命令或更新其固件。研究人員警告說，這些類型的虛擬控制器可以用作OT網絡的攻擊入口點。

　　美國網絡安全和基礎設施安全局(CISA)表示，該產品已在全球范圍內用于運輸、IT、發電、關鍵制造和商業設施等領域。OPTO 22公司自2008年在中國上海設立代表處后，其自動化產品及技術在國內半導體、石油石化、水處理、新能源、交通、電力等領域獲得諸多成功應用。

　　1.背景介紹

　　近日，工業網絡安全公司Claroty的研究人員在Opto 22的SoftPAC虛擬可編程自動化控制器(PAC)中發現了一組漏洞，可使運營技術(OT)網絡受到攻擊。SoftPAC是一種基于軟件的自動化控制器，可以托管在Windows設備上，據供應商稱，它對于需要更多文件存儲、更多計算能力或經常訪問文件的應用程序特別有用。Opto 22公司是一個全球技術領先的產品制造商，它提供了用計算機網絡連接現實設備的高品質硬件與軟件解決方案。其客戶應用包括數據采集、企業管理、遠程監視與控制、工業自動化、SCADA。Opto 22是最先認識到并提供用網絡、計算機與現實世界中的設備相聯連的系統解決方案的公司之一。目前，世界上有超過8000萬點的設備與Opto 22系統相連接。該公司在上海設有代表處。

　　Claroty公司的安全研究員Mashav Sapir于2020年3月到4月間分別發現了總共五個漏洞，這些漏洞形成原因分別是缺少對固件更新文件名的清理，缺少對固件文件簽名的檢查，通過開放端口的通信，允許DLL不受控制的搜索路徑以及缺少認證或授權機制。這些缺陷可以使遠程攻擊者可以訪問SoftPAC代理，以向PAC發送啟動或停止命令或更新其固件。

　　五個漏洞分別為：文件名或路徑的外部控制(CVE-2020-12042)、加密簽名的驗證不正確(CVE-2020-12046)、訪問控制不當(CVE-2020-10612)、不受控制的搜索路徑元素(CVE-2020-10616)、授權不當(CVE-2020-10620)

　　2.漏洞概述

　　Opto 22 SoftPAC Project是美國Opto 22公司的一套自動化軟件套件。該產品能夠提供工業自動化、過程控制、樓宇自動化、遠程監控、數據采集和工業物聯網等功能。

　　Opto 22 SoftPAC Project 9.6及之前版本中存在授權問題漏洞，該漏洞源于與SoftPAC進行通信時并不需要任何憑證。攻擊者可利用該漏洞直接與SoftPAC通信，包括遠程停止服務。

　　2.1漏洞情況

　　l 文件名或路徑的外部控制(CVE-2020-12042)：未清除用于SoftPAC固件更新的zip文件中指定的路徑。這樣，具有用戶特權的攻擊者就可以通過系統訪問權限獲得任意文件寫訪問權限。

　　CVSS v3基本得分6.5;CVSS向量字符串為(AV：N / AC：L / PR：L / UI：N / S：U / C：N / I：H / A：N)

　　l 加密簽名的驗證不正確(CVE-2020-12046)： SoftPAC在固件更新期間不驗證固件文件的簽名，從而使攻擊者可以用惡意文件替換合法的固件文件。

　　CVSS v3基本得分為5.7;CVSS向量字符串為(AV：N / AC：L / PR：L / UI：R / S：U / C：N / I：H / A：N)

　　l 訪問控制不當(CVE-2020-10612)： SoftPAC代理通過網絡TCP端口22000(無限制的開放端口)與SoftPAC Monitor進行通信。這使具有網絡訪問權限的攻擊者可以通過遠程命令控制SoftPAC代理的行為，這些命令包括固件更新、啟動或停止服務或寫入某些注冊表值。

　　CVSS v3基本得分為9.1;CVSS向量字符串為(AV：N / AC：L / PR：N / UI：N / S：U / C：N / I：H / A：H)

　　l 不受控制的搜索路徑元素(CVE-2020-10616)：由于SoftPAC沒有指定多個.dll文件的路徑，因此攻擊者可以在服務啟動時替換它們并執行代碼。

　　CVSS v3基本得分6.5;CVSS向量字符串為(AV：N / AC：L / PR：N / UI：R / S：U / C：N / I：H / A：N)

　　l 授權不當(CVE-2020-10620)：由于其通信不包含任何憑據或身份驗證，因此具有網絡訪問權限的攻擊者可以直接與SoftPAC通信。

　　CVSS v3基本分數為9.8;CVSS向量字符串是(AV：N / AC：L / PR：N / UI：N / S：U / C：H / I：H / A：H)

五個漏洞的基本信息

　　2.2漏洞影響設備及固件版本

　　Opto 22 SoftPAC Project 9.6及之前版本(如Opto 22 SoftPAC Project 9.0版本)中均存在這些漏洞。

　　2.3與ATT&CK的映射

　　3.漏洞原理

　　SoftPAC PLC在Windows計算機上作為SYSTEM服務運行，最終用戶無法直接訪問。但是，SoftPAC供應商Opto 22為最終用戶提供了一個不同的程序，即SoftPAC Monitor，該程序使他們能夠通過另一項稱為SoftPAC Agent的服務輕松地控制和管理SoftPAC PLC。

　　SoftPAC Monitor允許用戶通過經由TCP端口22000向SoftPAC代理發送命令來啟動/停止PLC服務并更新SoftPAC固件。SoftPAC代理僅用于偵聽來自SoftPAC Monitor的命令，還偵聽0.0.0.0，即不可路由的源地址，用于指定無效或未知的目標。在某些情況下，這可能允許攻擊者與SoftPAC代理建立外部遠程連接(請參見下圖)。

　　SoftPAC代理在根據從SoftPAC Monitor收到的用戶命令來管理SoftPAC PLC，但是在適當的情況下，攻擊者可以通過外部遠程連接對其進行操作。

　　由于SoftPAC代理使用的協議不需要任何形式的身份驗證，因此遠程攻擊者可能會模仿SoftPAC Monitor，建立遠程連接并執行啟動/停止服務或固件更新命令。盡管攻擊者可以使用啟動/停止命令來進行昂貴且潛在危險的操作更改，但固件更新命令是一個更加值得關注的領域。

　　Sapir通過他的研究確定，當SoftPAC Monitor發出固件更新命令時，它會向SoftPAC代理發送新固件zip文件的路徑，該文件將打包可執行文件。SoftPAC Monitor發送的固件更新zip文件或其中包含的可執行文件均未簽名。這樣，攻擊者可以通過TCP端口22000發送惡意固件更新命令，并且SoftPAC代理可以輕松接收、提取和安裝可執行文件。

　　此外，SoftPAC Monitor發送的固件更新中的路徑沒有被清除。這導致在文件提取過程中出現“ zip slip”漏洞，攻擊者可以利用SYSTEM特權實現任意文件寫入，可以輕松利用該特權來執行惡意代碼。

　　在實驗室環境中，Claroty研究人員將上述安全漏洞與DLL劫持策略聯系在一起，以實現具有SYSTEM特權的SoftPAC Agent中的完整代碼執行。

　　Claroty的白帽研究人員在實驗室環境中進行的完全連鎖攻擊的概念驗證

　　在啟動與SoftPAC Agent的連接后，Claroty研究人員使用該連接來檢查SoftPAC PLC當前是否正在運行。接下來，他們向SoftPAC代理發送了停止命令以停止SoftPAC PLC。停止PLC后，他們發送了固件更新命令，其中包含指向惡意zip文件的網絡路徑。SoftPAC代理提取了該zip文件，并刪除了其中包含的惡意動態鏈接庫(DLL)文件，并將其放置在與SoftPAC可執行文件相同的目錄中。交付惡意文件后，Claroty研究人員發送了一個命令，以重新啟動SoftPAC PLC，導致惡意DLL加載，從而以SYSTEM特權執行代碼。

　　4.漏洞危害及保護

　　4.1漏洞危害

　　美國網絡安全和基礎設施安全局(CISA)表示，該問題產品在全球范圍內用于運輸、IT、關鍵制造和商業設施等領域。Claroty公司也證實它還在發電行業中經常使用。此漏洞可能會導致以下危害：

　　l 攻擊者可以通過結合固件更新漏洞和DLL劫持，在目標系統上實現任意代碼執行，導致固件不受控制;

　　l 攻擊者與SoftPAC 代理啟動連接后，并發送命令，這可能會對工業控制系統的安全性和操作造成不良影響。

　　4.2防護建議

　　上述漏洞僅影響9.6和更低版本的SoftPAC Project，因此可以通過更新至最新版本的SoftPAC Project Professional或SoftPAC Project Basic來緩解這些漏洞。

　　如果此更新無法立即生效，則CISA建議采取以下措施來最大程度地減少在您的環境中利用這些漏洞的可能性：

　　l 在防火墻上監視或限制TCP端口22000;

　　l 最小化所有控制系統設備和/或系統的網絡暴露，并確保不能從Internet訪問它們;

　　l 在防火墻后面找到控制系統網絡和遠程設備，并將其與業務網絡隔離;

　　l 當需要遠程訪問時，請使用安全方法，例如虛擬專用網絡(VPN)，并確認VPN可能存在漏洞，應將其更新為可用的最新版本。還應認識到VPN僅與連接的設備一樣安全。

　　參考資源

　　[1] CVE：CVE-2020-12042 http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-12042

　　[2] CVE：CVE-2020-12046 http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-12046

　　[3] CVE：CVE-2020-10612 http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-10612

　　[4] CVE：CVE-2020-10616 http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-10616

　　[5] CVE：CVE-2020-10620 http://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2020-10620

　　[6] CISA：ICSA-20-135-01 https://www.us-cert.gov/ics/advisories/icsa-20-135-01

　　[7] CLAROTY博客：https://blog.claroty.com/software-based-plc-vulnerabilities-enable-remote-code-execution

　　[8] SecurityWeek：https://www.securityweek.com/vulnerabilities-softpac-virtual-controller-expose-ot-networks-attacks