贝加莱自动化软件中的漏洞容易招致对ICS网络的攻击
字数 1330 2025-08-15 21:30:26

贝加莱Automation Studio软件漏洞分析与防护指南

漏洞概述

研究人员在贝加莱自动化公司(B&R Automation)的Automation Studio软件中发现三个高危安全漏洞,这些漏洞可能被攻击者利用来入侵工业控制系统(ICS)网络。这些漏洞存在于Automation Studio 4版本的升级服务(upgrade service)中。

漏洞详情

1. CVE-2019-19100 - 提权漏洞

  • 类型:权限提升
  • 影响:允许攻击者获得系统更高权限

2. CVE-2019-19101 - 不完整的通信加密和验证漏洞

  • 类型:加密/验证缺陷
  • 影响:通信过程中缺乏适当的加密和验证机制

3. CVE-2019-19102 - 路径遍历漏洞

  • 类型:Zip Slip任意文件覆盖漏洞(2018年发现)
  • 影响:允许攻击者在系统上写入任意文件

漏洞组合利用分析

这三个漏洞可以形成攻击链被组合利用:

  1. 初始访问:攻击者首先需要获得对目标网络的访问权限
  2. DNS劫持:利用CVE-2019-19101漏洞,攻击者可以:
    • 劫持发给贝加莱update server的初始DNS请求
    • 从自己的恶意站点命令update server检索更新
  3. 代码执行:由于缺乏验证机制,攻击者可以利用CVE-2019-19102路径遍历漏洞:
    • 在更新过程中植入恶意代码
    • 以System权限在Automation Studio主机上执行任意代码

攻击场景分析

典型攻击流程

  1. 攻击者获得对托管Automation Studio的网络的访问权限
  2. 冒充贝加莱update server对工程计算机发动DNS投毒攻击
  3. 利用代码执行漏洞入侵其他工程工作站
  4. 进一步攻击ICS网络中的PLC和其他关键设备

ICS网络特殊性

  • 封闭的ICS网络通常没有专用DNS服务器
  • Windows计算机会回退到更容易欺骗的本地发现协议
  • 这使得DNS欺骗攻击在ICS环境中更容易实施

受影响范围

受影响产品

  • 贝加莱Automation Studio 4版本

受影响行业

  • 能源行业
  • 化工行业
  • 关键制造业
  • 其他使用贝加莱自动化解决方案的工业领域

防护措施

厂商措施

  • 贝加莱已为部分受影响版本发布补丁
  • 正在为其余版本开发补丁

用户防护建议

  1. 补丁管理

    • 及时应用贝加莱发布的安全补丁
    • 关注厂商的安全公告获取最新更新

  2. 网络隔离

    • 实施严格的网络分段
    • 限制对自动化网络的访问权限

  3. DNS安全

    • 配置专用DNS服务器
    • 禁用本地发现协议回退功能
    • 实施DNS安全扩展(DNSSEC)

  4. 监控与检测

    • 部署网络监控工具检测异常DNS请求
    • 建立异常更新行为的检测机制

  5. 权限控制

    • 遵循最小权限原则
    • 限制自动化软件的运行权限

当前状态

截至2020年4月,贝加莱表示尚未发现这些漏洞被用于恶意目的的证据。然而,考虑到ICS系统的重要性,建议用户尽快采取防护措施。

参考资源

  1. CISA安全公告
  2. 贝加莱官方安全通告
  3. Claroty研究报告
  4. Security Week原始报道

总结

这三个漏洞的组合利用可能对工业控制系统构成严重威胁,特别是在关键基础设施领域。组织应高度重视这些漏洞,及时采取防护措施,并持续关注厂商的安全更新。

贝加莱Automation Studio软件漏洞分析与防护指南 漏洞概述 研究人员在贝加莱自动化公司(B&R Automation)的Automation Studio软件中发现三个高危安全漏洞,这些漏洞可能被攻击者利用来入侵工业控制系统(ICS)网络。这些漏洞存在于Automation Studio 4版本的升级服务(upgrade service)中。 漏洞详情 1. CVE-2019-19100 - 提权漏洞 类型:权限提升 影响:允许攻击者获得系统更高权限 2. CVE-2019-19101 - 不完整的通信加密和验证漏洞 类型:加密/验证缺陷 影响:通信过程中缺乏适当的加密和验证机制 3. CVE-2019-19102 - 路径遍历漏洞 类型:Zip Slip任意文件覆盖漏洞(2018年发现) 影响:允许攻击者在系统上写入任意文件 漏洞组合利用分析 这三个漏洞可以形成攻击链被组合利用: 初始访问 :攻击者首先需要获得对目标网络的访问权限 DNS劫持 :利用CVE-2019-19101漏洞,攻击者可以: 劫持发给贝加莱update server的初始DNS请求 从自己的恶意站点命令update server检索更新 代码执行 :由于缺乏验证机制,攻击者可以利用CVE-2019-19102路径遍历漏洞: 在更新过程中植入恶意代码 以System权限在Automation Studio主机上执行任意代码 攻击场景分析 典型攻击流程 攻击者获得对托管Automation Studio的网络的访问权限 冒充贝加莱update server对工程计算机发动DNS投毒攻击 利用代码执行漏洞入侵其他工程工作站 进一步攻击ICS网络中的PLC和其他关键设备 ICS网络特殊性 封闭的ICS网络通常没有专用DNS服务器 Windows计算机会回退到更容易欺骗的本地发现协议 这使得DNS欺骗攻击在ICS环境中更容易实施 受影响范围 受影响产品 贝加莱Automation Studio 4版本 受影响行业 能源行业 化工行业 关键制造业 其他使用贝加莱自动化解决方案的工业领域 防护措施 厂商措施 贝加莱已为部分受影响版本发布补丁 正在为其余版本开发补丁 用户防护建议 补丁管理 : 及时应用贝加莱发布的安全补丁 关注厂商的安全公告获取最新更新 网络隔离 : 实施严格的网络分段 限制对自动化网络的访问权限 DNS安全 : 配置专用DNS服务器 禁用本地发现协议回退功能 实施DNS安全扩展(DNSSEC) 监控与检测 : 部署网络监控工具检测异常DNS请求 建立异常更新行为的检测机制 权限控制 : 遵循最小权限原则 限制自动化软件的运行权限 当前状态 截至2020年4月,贝加莱表示尚未发现这些漏洞被用于恶意目的的证据。然而,考虑到ICS系统的重要性,建议用户尽快采取防护措施。 参考资源 CISA安全公告 贝加莱官方安全通告 Claroty研究报告 Security Week原始报道 总结 这三个漏洞的组合利用可能对工业控制系统构成严重威胁,特别是在关键基础设施领域。组织应高度重视这些漏洞,及时采取防护措施,并持续关注厂商的安全更新。