一、企业简介
宁波如磐科技有限公司,是一家在工业互联网与物联网安全领域高速增长且已处于领先地位的高科技企业。公司目前已科技赋能政务、电网电力、石油石化、航空航天、烟草、轨道交通、智能制造等不同行业。截至目前,服务客户数十家,重大项目涵盖国企、央企和部委等。包括国家电网、中国石油、中国石化、中国卫通、国家广播电视总局、中国信通院、中国电子标准化研究院、中兴通讯等。
公司长期支撑国家关键信息基础设施风险研判与全国工控安全检查工作,专注于工业信息安全领域的实战攻防对抗与未知威胁检测两大核心方向,团队拥有领先的工业互联网安全研究能力,已挖掘国内外工控系统高危漏洞上千个,多次为西门子、施耐德电气等多家重量级企业发现和修复了安全威胁,并获得公开致谢。是全国信息安全标准化技术委员会成员单位、国家信息安全漏洞库(CNNVD)技术支撑单位、国家工业信息安全漏洞库(CICSVD)技术组成员单位、中国信息通讯研究院-网络安全能力评价工作组成员单位。公司内部全面运行严格的质量管理体系和信息安全管理体系并已于2022年取得ISO9001和ISO27001体系证书。
此外,团队曾参与建设工信部国家级工业互联网漏洞平台等多个国家级和行业级工控安全平台,并多次作为出题者和裁判支持国家级工控安全大赛。
其中如磐科技旗下工控安全实验室(洞见安全实验室)是本公司网络产品安全漏洞研发的核心部门,被评为宁波市重点实验室。长期致力于工控安全攻防技术研究。团队长期对包括数据采集与监控系统(SCADA)、可编程逻辑控制器(PLC)、操作员面板(HMI)、远程终端单元(RTU),工业机器人、工业交换机,工业路由器、组态软件、智能电网设备、设备管理系统、安服监控以及其他设备系统等目标进行漏洞挖掘以及网络安全研究。
目前实验室安全研究人员已挖掘到工业系统0day漏洞1000个以上,挖掘到的漏洞类型包括输入验证、缓冲区错误、路径遍历、授权问题、代码问题、信息泄露、跨站脚本、加密等问题。其中缓冲区错误漏洞占比32%。其中高危漏洞占比60%,中危漏洞占比22%,低危漏洞占比18%。
“洞见安全实验室”还面向国内外工控组态软件进行了专项漏洞挖掘,目前已经覆盖到的国内工控组态软件厂商达到90%,国外厂商70%,挖掘到工业组态软件漏洞300余个,其中60%为高危级别的远程代码执行漏洞,这类漏洞可导致工程师站/操作员站被植入后门进行远程操控等恶意操作。
由于“洞见安全实验室”精湛的漏洞挖掘技术,曾在2021年由奇安信等主办的补天杯破解大赛中荣获一等奖。
二、核心技术介绍
(一)核心技术
如磐科技是目前国内极少数能够对高精尖系统进行工业信息安全检测的企业,也是国内首家深入研究工业系统二进制漏洞自动化挖掘的厂商。公司曾承接多项国家重点保密项目,对核工业、航空航天等高精尖系统进行深入研究,在相关设备上发现大量安全漏洞和外国企业植入的后门系统,为保障国家安全做出了重大贡献。主要核心技术有:
1、工业-物联网系统漏洞自动化挖掘
团队利用自主研发的自动化漏洞挖掘系统,实现包括X86/ARM/MIPS/POWERRPC等主流架构的工业系统与工业软件的漏洞挖掘,通过对工业芯片固件系统的反编译代码进行富豪执行与污点跟踪分析,结合团队长期积累的人工智能技术,可有有效的发现工业系统中存在的包括内存越界、溢出等各种类型的未知安全漏洞。
2、嵌入式系统安全编译器
创新的实现了国内首个嵌入式系统安全编译器,独家超轻量级代码虚拟机保护方案,适用于各种低运算能力设备,支持各种MPU/MCU架构,无缝集成GCC/CLANG/KEIL/IAR等主流物联网系统开发平台、嵌入式开发环境与交叉编译工具链,对源码进行安全编译从而生成受保护的安全固件,强力对抗恶意攻击者对物联网/工控系统固件的逆向破解。
3、终端动态移动目标防御(TMTD)技术
采用创新的“漏洞攻击动态防御”技术与内核安全增强引擎,颠覆了查漏洞打补丁的传统安全防护思路,即使不打补丁,在设备存在已知漏洞和未知漏洞的情况下,也能有效抵御攻击。
4、网络动态移动目标防御(NMTD)技术
基于软件定义网络(SDN)与网络虚拟化技术(NFV)创新的实现了基于网络的移动目标防御体系(Moving Target Defense System)。系统可以自动化的虚拟出数以亿计的仿真系统与设备,将客户的真实业务资产稳藏在海量的虚拟系统之间,并且可以根据攻击者的攻击方式实时动态跳变,实现拟态防御,让攻击者迷失在复杂、不断变化的“迷宫网络”中。
(二)如磐科技核心技术行业竞比
当前国内外漏洞安全研究存在两大技术流派,基于Fuzzing和基于程序分析,在IT侧更适合使用基于Fuzzing(模糊测试),因为目前大量的研究目标是类似WORD/PDF、浏览器等对文件进行格式解析和渲染的程序,采用生成大量格式异常的数据来进行漏洞挖掘。目标程序运行在分析者可控的主机上,分析者可以采用二进制动态插桩或者源代码插桩的方式来获得代码测试覆盖度(有反馈的),也就是灰盒测试的方式挖掘,效率很高,技术也很成熟(比如GOOGLE开源的AFL等)。此外,IT侧的软件代码量和复杂度更高,比如WINDOWS和LINUX操作系统源码在千万行级规模,采用程序分析漏洞挖掘需要消耗大量的计算资源,因此其效率不如Fuzzing效率高。
工业系统除了工业软件,一般为封闭的硬件系统,通常无法将工业系统的固件或者操作系统运行在分析者的研究环境中(CPU架构不同,系统环境不同),因此单纯的基于网络的工控协议模糊测试Fuzzing只能以纯黑盒的方式对目标设备进行测试,因为无法获得代码覆盖反馈,单纯的网络Fuzzing只能测试出一些比较浅显的协议漏洞,无法挖掘到系统深层次的漏洞,而且无法知道漏洞成因。工业系统固件或者软件一般源码规模在数万行到数十万行规模,因此在工业系统领域,采用对固件/操作系统进行动静态程序分析的方式更加合适。
如磐科技在工控安全未知威胁攻防领域具有长期与深度的技术积累,突破了多项技术难关,通过资深的安全专家经验以及与人工智能专家的深度学习和神经网络技术的深度融合,研发出了国内首个针对工业控制系统和工业软件的自动化漏洞挖掘系统,该系统极大提高了安全研究人员的漏洞挖掘效率,在施耐德的RTU设备、摩莎科技工业交换机、以及H3C企业级路由器漏洞挖掘中效果显著,团队安全专家利用该系统短时间内挖掘出数百个高危安全漏洞,累计挖掘工控安全漏洞1000+个,位列国内第一,产出是国内外同行的数十倍。
以工控安全厂商Claroty公司为例,该公司在国际上以挖掘工控漏洞为主要特色,根据公开报道,Claroty截止2021年初已发现的工控漏洞CVE数约70多个。国内工控安全厂商通常每年挖掘到的漏洞数量在20-30个,如磐科技在该领域的产出远超国内外同行。
此外,基于对未知漏洞的挖掘与利用技术能力,团队将相关技术积累沉淀到公司的核心产品中,使得自身安全防护产品的检测和防御能力都大大超出行业其他厂商。
(三)在CICSVD/CNNVD/CNVD的漏洞支撑情况
本团队长期支撑国家关键信息基础设施风险研判与全国工控安全检查工作,专注于工业信息安全领域的实战攻防对抗与未知威胁检测两大核心方向。公司由国内业务安全独角兽企业顶象技术孵化,核心团队均为前顶象技术公司成员。团队里有超过70%安全专家曾来自阿里、绿盟、安天、威努特、360、天融信等知名企业,精通于工业系统安全技术,具有资深行业经验。内部设有业界领先的工控安全实验室-“洞见安全实验室”,拥有国内领先的工业控制系统安全研究能力。
首先,本核心团队任职顶象技术期间,曾为顶象技术取得国家工业信息安全漏洞库优秀支撑单位荣誉称号,根据《2020年工业信息安全漏洞态势年度简报》显示,本技术团队共上报漏洞75个,总积分42790分,排名第一。
2021年共上报漏洞67个,总积分39090分,依然排名榜首。2020年-2021年间,共上报漏洞超过180个。
其次,除了支撑CICSVD国家工业信息安全漏洞库,如磐科技核心技术人员曾代表顶象技术在CNNVD国家信息安全漏洞库崭露头角。2020年上报原创漏洞51个,2021年118个,共计169个。获得国家信息安全漏洞库(CNNVD)一级技术支撑单位。
最后,如磐科技核心技术人员持续在国家信息安全漏洞共享平台贡献了大量原创漏洞和公开漏洞信息,已被收录190多个,漏洞数量在非技术组单位中名列前茅,漏洞研究和挖掘能力受到CNVD充分认可。
近几年,如磐科技核心技术人员不仅在未知威胁检领域取得重大突破,研发出不需要“打补丁”的主机未知威胁防御产品,核心技术也不断参与到国家关键基础设施风险研判工作,提高了国家网络安全防范能力。主要表现有:
1 、2020年团队成员参加全国工业互联网安全技术技能大赛,荣获“突出贡献奖”。
2、因团队核心漏洞扫描技术突出,所支撑的“军工漏洞扫描系统”被中共北京市委军民融合发展委员会办公室颁发第二批“北京市军民融合重点产品”荣誉证书。
3、由于在态势感知、威胁情报、漏洞挖掘等安全服务与监测领域技术突出,入选了国家互联网应急中心浙江分中心第二批“网络安全应急支撑单位”。
4、2022年如磐科技核心产品“攻击诱捕与威胁检测系统V2.0”凭借创新的技术实力及优良的产品性能通过统信操作系统(海光/兆芯处理器)兼容性认证。
(四)重大安全漏洞成果
目前,由如磐科技“洞见安全实验室”挖掘到的重大安全漏洞如下:
1、施耐德PLC系统格式化漏洞
该漏洞可远程格式化PLC设备FLASH存储设备,重启加电后可导致设备操作系统无法启动。该款PLC大量应用于水坝控制系统,如遭网络攻击,将导致水坝所有水闸失控,后果不堪设想。通常拒绝服务类漏洞可导致系统崩溃,一般系统崩溃后通过断电恢复或重启系统后可恢复系统,但此漏洞可物理上破坏PLC设备导致功能损坏。
2、施耐德PLC“超级后门”漏洞
2019年7月实验室在研究施耐德PLC时发现核心组件存在的一个20年之久的漏洞,该漏洞被施耐德电气评估为最高危险等级“超危”级漏洞(CVE-2020-7533), 该漏洞可以使远程攻击者无需任何权限增加、删除、修改任意PLC系统账号权限(包括管理员),可以添加、删除任意安全访问限制,比如部分区域需要输入特权账号密码才能访问,通过这个疑似后门接口可以将安全区域限制删除,无需任何账号密码即可访问。该漏洞影响了施耐德电气大部分主流PLC系统。
3、西门子工业交换机高危漏洞与后门
团队发现西门子多款工业交换机存在高危漏洞,导致工业交换机被远程控制或导致设备瘫痪,此外还在设备中发现后门逻辑,该后门逻辑为只要用户在发送网络请求时传入一个特定硬编码数据就可以直接绕过系统的权限认证系统,可以无需用户名密码即可对系统进行任意操作。
此外还在西门子的工业组态软件WINCC中发现工程后门密码,该后门密码为一组UUID格式,通过该后门密码,攻击者可以在不知道工程加密密码的情况下打开并修改加密过的工程文件。
4、Modipwn-无法被修复的PLC系统超危漏洞
近期被国外安全团队发现的被命名为“Modipwn”的高危安全漏洞(CVE-2021-22779),可以绕过认证机制,让攻击者完全控制目标设备。该漏洞早在2019年下半年时就已经被洞见安全实验室发现,制作了利用该漏洞对设备进行崩溃攻击和勒索攻击的视频,并向有关部门进行了汇报。由于该漏洞属于施耐德电气工业组态编程软件EcoStructure/UnityPro版本加密机制的设计缺陷,因此厂商只能修复在新版本上位机系统中修复缺陷,但无法修复PLC中的漏洞,直到今天,该漏洞仍可以对施耐德电气下的Modicon系列PLC进行攻击。
5、中石化智能油水井监控模块超危漏洞
“洞见安全实验室”曾在各大油田大量使用的由南大傲拓定制开发的国产自主可控的“智能油水井监控模块”(RTU设备)中发现30多个远程代码执行漏洞,这些漏洞可使攻击者无需任何权限获得RTU设备的root权限并实现反弹shell,导致抽油机被黑客远程控制并实施锁定,使得抽油机无法正常采油,从而给油田造成严重的损失。该漏洞曾经在胜利油田某抽油机井口经过实际测试(已授权),验证了抽油机设备可以被远程控制。
6、某卫星系统后门与超危漏洞
如磐科技在支持某航空航天领域项目中,曾经在国外进口卫星设备中发现超过100个高危远程代码执行漏洞,并发现了国外厂商故意预留在系统中的后门。该后门存在于厂家维护界面,当输入“正确的售后维护密码”时会正常进入设备的维护参数配置页面,但是当输入一串特殊密码时,系统会提示密码输入错误,但实际会在设备后台静默开启远程网络服务,通过对该网络服务的研究发现,该网络服务实际为远程控制系统,通过这套系统可以对系统进行参数获取、参数修改、系统调试以及植入任意程序等操作,对我国航空航天领域造成严重威胁,此外该系统还存在100多个远程代码之行漏洞,这些漏洞都使攻击者远程控制设备。该项研究成果获得了客户的高度认可,同时也有力的保障了国家安全。
7、火箭摆杆控制系统高危漏洞
在参与某火箭摆杆控制系统安全性测试时,发现火箭摆杆控制系统中使用的超御N系列PLC的组态软件SC-ProView和工业编程软件SC-ProSys存在数个高危漏洞,这些漏洞可以导致火箭摆杆控制系统被远程控制或者系统瘫痪。
8、库卡工业机器人远程控制漏洞
发现KUKA工业机器人存在数个高危漏洞可导致工业机器人机械臂被攻击者远程控制,KUKA工业机器人被广泛应用于智能制造行业中。
9、摩莎科技工业交换机/工业路由器通用型超危漏洞
在MOXA(摩莎科技)的工业交换机、工业路由器上发现上百个高危漏洞,这些漏洞存在于MOXA工业交换机和路由器使用的某个通用组件中,因此这些漏洞波及面极广,几乎覆盖全部型号的工业交换机和路由器。
10、其他高危漏洞
除了以上所列举的一些漏洞,洞见安全实验室还发现其他系统大量高危安全漏洞:
(1)在施耐德某型号RTU设备上发现100多个可导致设备瘫痪的拒绝服务型漏洞;
(2)在H3C多个路由器上发现十余个通用型高危远程代码执行漏洞,攻击者可通过漏洞控制路由器,暴露在互联网上的该系列路由器有20万个;
(3)发现艾默生DeltaV DCS系统存在高危漏洞,可导致DCS被远程控制该系统被我国石油炼化企业广泛使用;
(4)发现浙大中控下DCS系统VisualField系统存在多个高危漏洞,可导致DCS系统被远程控制;
(5)发现研华科技(Advantech)旗下WebAccess产品存在数十个高危漏洞,可导致工程师站和操作员站被远程控制;