互联网为诈骗者和网络罪犯提供了非法赚钱的可能性。包括勒索软件、商业电子邮件泄露、网络欺诈和网络钓鱼在内的常见方法在信息安全社区中都是众所周知的。然而,在例行漏洞评估期间,Dragos研究人员发现了一种针对工业工程师和操作员的较小型勒索技术。各种社交媒体网站上的多个帐户正在推广可编程逻辑控制器(PLC)、人机界面(HMI)和项目文件密码破解软件。买家可以通过运行卖家为特定工业系统提供的可执行文件来找回忘记的密码。像这样的广告提出了一个问题:“谁会买这个?”任何信息安全专业人员都会警告不要从不受信任的方下载和运行软件。举个例子:一位名叫特洛伊的工程师刚刚晋升为高级工程师,他的老同事赫克托在一家电力公司工作了30年后退休了。Troy需要更新Hector在AutomationDirect的DirectLogic06PLC上编写的一些梯形逻辑。启动PLC编程软件DirectSOFT后,弹出密码提示。特洛伊不知道密码,赫克托几个月前离开了,现在正在一艘没有服务的船上度假。特洛伊在网上寻找答案,看到了PLC密码破解软件的广告,决定试一试。Troy的安全意识同事Cassandra警告不要将这种不必要的风险引入他们的OT环境。但特洛伊坚称这是一项时间紧迫的任务。他购买了该软件并在他的工程工作站上运行。特洛伊成功找回了PLC的密码,但几分钟后,他发现工程工作站的系统出现了异常。Troy要求Dragos对密码“破解”软件进行逆向工程,并确定它根本没有破解密码,而是利用固件中的一个漏洞,允许它根据命令检索密码。此外,该软件是一个恶意软件植入程序,可以用Sality恶意软件感染机器,将主机变成Sality对等僵尸网络的成员。Dragos研究人员已确认,恶意软件植入程序中嵌入的密码检索漏洞通过串行连接成功恢复了AutomationDirect的DirectLogic06PLC密码。从用户的角度来看,他们只需要从Windows机器连接到PLC,然后指定通信的COM端口,然后单击“READPASS”按钮即可。一两秒后,密码显示给用户。之前针对DirectLogicPLC的研究已经产生了成功的破解技术。然而,Dragos发现,该漏洞无法像历史上流行的漏洞利用框架那样破解密码的加密版本。相反,特定的字节序列由恶意软件植入程序发送到COM端口。捕获漏洞发送的串行通信允许Dragos研究人员在恶意软件植入程序之外重新创建它。该恶意软件包含仅串行版本的漏洞,要求用户从工程工作站(EWS)到PLC建立直接串行连接。Dragos研究人员能够通过以太网成功地重新创建漏洞,大大增加了漏洞的严重性。此漏洞被指定为CVE-2022-2003,并已负责任地披露给AutomationDirect。他们已经发布了固件更新来解决这个问题。
