美国当地时间2018年03月06日,ICS-CERT发布了赫斯曼(Hirschmann Automation and Control GmbH)公司 的经典平台交换机系列设备的多个高危漏洞(固定Session漏洞、信息泄露漏洞、敏感信息明文传输漏洞、加密强度不足漏洞、对过度身份验证尝试的不当设置漏洞)。***者可利用该漏洞接收敏感信息并获得对设备的访问权限。CNCERT下属的工业互联网安全应急保障中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:
一、漏洞情况分析
赫斯曼公司研发的经典平台交换机系列产品可用作固定端口版本或作为模块化工作组交换机。交换机的功能包括广泛的管理和冗余过程以及各种配置和诊断功能。该系列交换机设备可以使用USB接口与自动配置适配器连接,所有配置数据都可以存储在该接口中,并且可以方便地升级或降级该交换机的操作系统。
经典平台交换机(Classic Platform Switches)系列设备存在固定Session漏洞、信息泄露漏洞、敏感信息明文传输漏洞、加密强度不足漏洞、对过度身份验证尝试的不当设置漏洞。漏洞起因是赫斯曼“经典平台”交换机产品包含密码同步功能,可将交换机管理员密码与SNMP通信密码同步,并将管理员密码暴露给本地网络上的***者。***者若成功利用这些漏洞可能会使***者劫持Web会话,冒充合法用户,接收敏感信息并获得对设备的访问权限。
二、漏洞影响范围
该漏洞的综合评级为“高危”。
根据生产厂商以及漏洞研究者的测试结果,该漏洞影响的产品为RS all versions、RSR all versions、RSB all versions、MACH100 all versions、MACH1000 all versions、MACH4000 all versions、MS all versions以及OCTOPUS all versions。
截止当前,我中心通过监测手段发现国内若干暴露在互联网上的设备,详细信息见附录一和附录二。
三、漏洞处置建议
目前厂商已经发布了解决方案,建议相关用户将密码同步功能关闭并鼓励用户使用SNMPv3协议,预防风险发生。
详情请关注厂商网站的相关信息:https://www.belden.com/resourcecenter/security/upload/Belden_Security_Advisory_BSECV-2016-2_1v0.pdf
此外,建议相关用户应采取的其他安全防护措施如下:
(1)最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问。
(2)定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离。
(3)当需要远程访问时,请使用安全方法如虚拟专用网络(***),要认识到***可能存在的漏洞,需将***更新到最新版本。
工业互联网安全应急保障中心将持续跟踪漏洞处置情况,如需技术支援,请及时与我们联系。
联系电话:010-82992157
邮箱:ics-cert@cert.org.cn
网站:www.ics-cert.org.cn
微信公众号:工业互联网安全应急保障中心
相关安全公告链接参考如下:
https://ics-cert.us-cert.gov/advisories/ICSA-18-065-02
附录一 国内暴露在互联网的赫斯曼工业交换器信息
省份 |
城市 |
区县 |
运营商 |
IP地址 |
江苏省 |
苏州市 |
昆山市 |
联通(网通) |
153.37.**.** |