串口到以太网转换器如何帮助攻击者泄露网络 - 物理资产

在工业自动化中，串行到以太网转换器/网关和串行设备服务器是一种广泛使用的方法，用于实现远程通信和监控只支持串行接口(如RS-232、RS-485和RS-422等)的设备。这些设备通常用于将串行协议转换为以太网协议(反之亦然)，以便将遗留的工业控制系统(ICS)网络迁移到现代以太网TCP/IP网络，并在操作技术(OT)环境中实现互操作性。

在一个数字转换大量影响关键基础设施的计划的年龄中，串行到以太网转换器提供了ICS运营商，具有成本效益且易于使用的解决方案，以实现运营效率。然而，随着ICS威胁景观迅速扩大，他们已被证明是一个用于资产所有者的双刃剑 - 通过向高风险网络物理设备呈现恶意威胁演员。

ICS中的串行通信背景

自20世纪60年代以来，串行通信已在工业自动化自动化中部署，尽管较新的数字标准的发展，但由于简单和效率，仍然在IC中使用。最近的行业估计表明，30-60％的IC仍然依赖于传统的串行协议，如Modbus，Profibus和DNP3，分别于1979年，1989年和1993年开发。这些协议本质上是不安全的，因为它们没有通过安全性开发，尽管现在可以使用以太网和更安全的串行通信技术，例如以太网，但工业自动化制造商经常选择基于RS-232，RS-485的连接连接，和RS-422串行接口，因为它们廉价且普遍支持。此外，由于与替换它们相关联的费用和大量停机，许多ICS环境仍然运行过时的传统控制器。

ICS中的串行到以太网转换器的背景

如今，标准网络通信是可路由的TCP / IP，这意味着大量的OT网络在TCP / IP和串行通信上合乎依赖性。在TCP / IP存在之前，对现场设备的连接仅限于本地化网络即，在现场需要工程师以调查事件并进行网络维护和更新。虽然TCP / IP的引入有助于建立远程连接，但在具有串行连接设备的网络中无法完全实现 - 这是串行到以太网转换器进入的地方。

顾名思义，串行到以太网转换器通过将串行设备转换为TCP/IP(反之亦然)，将传统串行连接设备连接到局域网(LAN)，并实现远程访问和监控的双向通信。这些设备包括安全性、功能和实现，可以在任何与它们的串行连接资产远程通信的ICS环境中找到。有各种类型的串行到以太网转换器，如:

• 1端口型号，使远程连接到一个单一的串行设备
• 多个端口模型（也称为设备服务器），其使远程连接到多个串行设备

基于串口的物理层（RS-232，RS-485/422等）还存在不同的转换器实现，并且它们通常是特定的协议。

正如ICS中大量的串行到以太网转换器所证明的那样，该技术为试图提高OT网络效率和生产率的运营商带来了不可否认的价值——尽管以牺牲网络安全为代价。

网络网络安全挑战

传统的串行通信将在现代网络威胁之前设计的协议设计了对IC的深刻安全挑战;因此，没有强调安全性。传统串行协议不支持命令的加密和身份验证，并且无法安全地将命令安全发送到设备。因此，它们易于攻击，拦截，重放攻击，恶意和未经身份验证的命令执行。

当引入允许双向通信的路由网络设备时，这种安全保护的缺乏就会加剧;由于上面提到的安全缺陷，遗留设备将接受来自转换器的任何命令，而不需要对消息进行身份验证。

正如比利•里奥斯(WhiteScope的首席执行官)在接受《安全总账》(Security Ledger)采访时所说的那样串行到以太网转换器是没有人谈论的巨大的关键基础设施风险(Paul Roberts 4月11日^TH., 2016年）：

“一旦您可以访问转换器，它的游戏就会过来。”“附带的设备会尽你所知，请做任何事情。”

这并不是说所有串行到以太网转换器都没有自己内置的安全特性。根据厂商的不同，有些厂商提供的安全特性比其他厂商更多，但这是有代价的。此外，具有安全特性的转换器仍然不能完全免受攻击，需要供应商和运营商的一定程度的警惕。在过去几年里，ICS-CERT已发表与串行到以太网转换器中发现的几种严重漏洞有关的建议 - 仅靠扰乱ICS资产所有者。

如果设备的软件没有打足够的补丁和更新，可能会导致严重的安全问题。令人惊讶的是，在谷歌上快速搜索会显示一系列与安全相关的事件，比如泄露密码和供应商在解决问题方面的反应不足。考虑到这一点，据说数字债券实验室主任Reid Wightman很少奇迹安全分类帐：

“我们一直告诉客户，要把这些产品当成是完全脆弱的。-“我还没有遇到过非常安全的串行转换器。”

以前的网络事件中的串行到以太网转换器的角色

乌克兰2015：2015年12月23日，第一次已知的对电网的成功网络攻击发生。攻击者成功地侵入了乌克兰三家能源分配公司的ics，并切断了30个变电站的电源，导致23万人断电长达6个小时。一种DHS报告声明对手:

"损坏了变电站的串行以太网设备的固件使其无法运行"

虽然目前尚不清楚有问题的转换器是否有任何安全功能，但很明显，黑客利用这些设备实现了整体目标 - 这是利用变电站的传统现场设备。

如何降低与串行到以太网转换器相关的风险

为确保安全可靠的工业流程，资产业主必须强制执行类似于遵循相关的NERC / CIP IC网络安全合规指南的人的严格网络安全卫生政策。它还不言而喻，需要严格观察到实施安全补丁的程序，以防止已知的漏洞被剥削。尽管如此，即使与最敏锐的运营商一样，只要使用串行到以太网转换器与其遗留设备通信，即长期以来，ICS仍然容易受到攻击。因此，运营商沿串行总线验证数据至关重要，以准确监控传统设备的行为。

On the back of a string of high-profile cyber-physical attacks, the DOD and ICS security practitioners are now vouching for passive monitoring of legacy field devices at level 0/1 (between field devices and controllers) – ‘Passive’ meaning the appliance cannot write to the line and inadvertently introduce an attack vector to the device it is monitoring. Additionally, level 0/1 monitoring provides a solution to spoofing attacks/false feedback attacks. As seen in previous cyber-physical incidents, adversaries can intercept data points received by SCADA and send false data representing normal operations to monitoring tools while writing malicious commands on the field device. Therefore operators should not trust serial-related data points unless they are tapped directly from the serial line from a secure device.

这篇文章最初发表于Cynalytica的博客。Cynalytica是CFE媒体内容合作伙伴。由Chris Vavra，Web Content Manager，CFE媒体和技术编辑编辑，cvavra@cfemedia.com。