1.漏洞说明
台达DVP20ES200TE型号的PLC对外提供两种基于TCP的工控服务:ModbusTCP和EthernetIP/CIP。需要说明如下两点:
1. 该PLC基于硬编码的ModbusTCP实现设备启停以及恢复设备至出厂状态等不安全因素。
2. EthernetIP/CIP通过ENIP协议的Session Handle字段用于会话控制,此外,该协议既无认证,也无加密。
奇安信巽丰工控安全实验室对该PLC进行安全研究发现:在实现ENIP会话控制基础上,通过将PLC的协议状态机引导至特定状态后,只需要发送1个精心构造的恶意CIP数据包,即可导致台达PLC异常宕机,效果如下所示。详细攻击过程,可参考文章末尾的视频。
上述攻击发生后,导致台达PLC的ERROR灯亮起,整个网络协议栈处于拒绝服务状态。此时,既不能ping通目标设备,也不能对目标设备进行信息读取或命令控制,只能通过冷启动(强行断电后重新上电,启动设备)地方式进行恢复。
2.行业影响
目前台达系列产品已被广泛应用于制造业、能源和医疗等多个领域。攻击者利用该漏洞对工控系统进行攻击,可导致设备异常宕机,造成生产线停产,严重影响正常的生产运营。
3.设备描述
台达成立于1971年,凭借创新技术、持续强化工程研发设备与精良测试仪器,台达持续推出高效、节能、可靠的产品与解决方案。台达DVP系列可编程控制器以高速、稳健、高可靠度应用于许多工业自动化机械上;除了具有快速执行逻辑运算、丰富指令集、多元扩展功能卡等特色外,支持多种通讯规范,使工业自动控制系统联成一个整体。
台达 DVP20ES200TE PLC