卡巴斯基实验室发现常用工业协议中存在严重漏洞 影响来自多个供应商的产品

OPC UA是一个工业协议，由OPC基金会于2006年开发并发布，用于在工业网络上的各个系统之间进行可靠和安全的数据传输。该协议被当今工业设施重要供应商所广泛使用，被应用于制造业、石油和天然气行业和制药业等领域。其网关被安装到越来越多的工业企业中，用于实现自动化流程控制和遥测通讯，监控和遥控系统，使这些企业能够统一管理流程。这一协议还被用于工业物联网和智慧城市组件，这些组件也越来越多地收到黑客的关注。

卡巴斯基实验室ICS CERT专家分析了OPC UA架构及其产品。他们检查了该协议的开源代码（可以通过GitHub获取），包括一台样本服务器，结果发现当前的协议实施存在代码设计和写入错误。这些错误不应该出现在如此广泛使用的关键基础设施软件中。整体来看，共在OPC基金会产品中发现了17个零日漏洞，并将这些漏洞上报给开发商，他们则修复了这些漏洞。

此外，卡巴斯基实验室ICS CERT分析了基于这种工业协议的第三方软件，包括来自领先工业设备提供商的解决方案。在大多数情况下，他们发现缺陷是由于开发人员没有正确使用某些协议实现功能而导致的。在其他情况下，漏洞是由于应用于协议基础设施的错误修改造成的。因此，专家们发现商业产品中功能的不安全实现，尽管原来OPC基金会的实施并未包含错误。结果，供应商出于未知原因而对协议逻辑进行的这种修改导致了具有风险的功能。

OPC UA协议实施中发现的所有漏洞都可能对工业造成严重危害。一方面，存在拒绝服务（DoS）问题的风险，可能会通过干扰或关闭工业流程而对工业系统构成严重威胁。另一方面，可以远程代码执行，攻击者可以发送任何类型的服务器命令来控制工业流程，或者继续侵入网络。

“软件开发人员经常过于信任工业协议，将相关技术在他们的解决方案中实施，而未对产品代码进行安全检查。示例中的漏洞可能会影响整个产品线，所以产品供应商应该重视可用的技术，这一点非常重要。不仅如此，他们不应该被他们可以设计他们自己的软件的想法所迷惑。很多人认为这样做更有效率，比现有的软件更为安全，但即使是全新的软件也可能包含许多漏洞，”卡巴斯基实验室ICS CERT高级安全研究员Sergey Temnikov说。

卡巴斯基实验室建议企业和组织采取以下措施：

• 在应用程序开发过程中密切关注安全检查和测试，并且不要完全依赖协议
• 进行评估和渗透测试以发现漏洞。
• 隔离软件开发流程，这样即使一个应用被入侵，攻击者也无法访问网络。

• 更多有关OPC UA的安全分析详情，请访问卡巴斯基实验室ICS CERT网站。