基于马耳他的安全启动公司Revuln声称将坐在工业控制软件的漏洞上,但更喜欢向各国政府和其他支付客户销售信息,而不是将其披露给受影响的软件供应商。
在一个星期一发布的视频,Revuln展示了九个“零日”(以前未知)漏洞,根据该公司,影响来自电气,施耐德电气,凯克拉德,罗克韦尔自动化,伊顿和西门子的普通电机的SCADA(监督控制和数据采集)软件。Revuln拒绝披露受影响的软件产品的名称。
SCADA软件在常规计算机上运行,但是由关键基础设施的所有者和其他各种类型的工业设施使用,以监控和控制工业流程。
根据Revuln,它展示了星期一的漏洞可以允许攻击者远程执行任意代码,下载任意文件,执行任意命令,在运行漏洞的SCADA软件上的系统上打开远程shell或hijack会话。
攻击者“可以控制受影响服务授予的最大权限(Windows的系统)的机器,”Revuln联合创始人和安全研究员Luigi Auriemma星期一通过电子邮件表示。“他们可以安装rootkit和其他类型的恶意软件或获得敏感数据(如在同一网络的其他计算机上使用的密码),显然他们可以控制整个基础架构。”
攻击可以从内部网络上的另一台计算机执行,或者在许多情况下,来自Internet。根据他们的文档,大部分产品旨在允许通过互联网进行远程管理,根据他们的文档,Auriemma说。
研究人员说,它也是众所周知,因为由于配置不安全,发现这种系统暴露于互联网。“Shodan [可用于发现互联网可访问的工业控制系统的搜索引擎]为我们提供了关于我们可以在此刻远程剥削的大型知名公司的机器的有趣结果。”
通用电气,施耐德电气,罗克韦尔自动化和美国国土安全部门,运营工业控制系统网络应急响应小组(ICS-Cert)没有回应周一发送的评论请求。
“ICS-CERT刚刚联系我们几分钟前请求更多细节,但我们没有发布信息,”Auriemma说。漏洞“是我们客户投资组合的一部分,所以没有公开细节将被释放;他们将保持私密,”他说。
随着法国漏洞研究公司Vupen,Revuln是一家公开卖给政府机构和其他私人客户的漏洞信息的公司之一,并拒绝向受影响的供应商找到他们的研究人员的漏洞,所以它们可以固定。
“在我们的零日饲料中包含的漏洞[基于订阅的服务]仍然被revuln仍然未审视,除非第三方或供应商公开或私下修补该问题的漏洞或私人补充,”该公司在其网站上。
这是一个有点争议的商业模式,被数字权利倡导者和来自IT安全行业的各种人批评,他们认为它使互联网不那么安全,因为漏洞仍然没有被感兴趣的第三方已知,他们可能有兴趣利用攻击性目的。
但是,这种做法并不新鲜。多年来,在安全研究社区多年来,一些公司和独立的研究人员正在向各国政府和其他私人买家销售有关未被分配的脆弱性的信息,但常常谨慎地完成此类交易。
在没有其他细节和供应商确认的情况下,很难独立证实这些漏洞的存在。然而,Auriemma作为一个多产漏洞研究人员的声誉及其在SCADA安全领域的过去的工作借给了他公司索赔的可信度。
在过去的几年里,在与前轮辋安全研究员Donato Ferrante,Auriemma一起创建Revuln报告了SCADA软件的数十种漏洞。
“Luigi [Auriemma]在过去的苏丹和ICS [工业控制系统]中发现了许多脆弱性,我相信他将来会继续到未来,”Digital Bond,Sunrise,Sunrise,Sunrise,佛罗里达州的首席执行官Dale Peterson说:基于公司专注于ICS安全研究和评估的公司,周二通过电子邮件。“他很有才华。”
彼得森说,这说,在SCADA软件中寻找漏洞并不难以理解。“这些应用程序的问题是在没有融入开发过程中的情况下没有安全开发的。”
“它类似于Microsoft在90年代所做的类似,”他说。“如果没有安全开发生命周期,您将看到常见的编程错误,导致漏洞并一遍又一遍地利用。”
就雷艾的商业模式而言,“数字债券的立场是那个发现脆弱性的人可以决定与之相关的人,”彼得森说。“向供应商的报告,证书,卖出,发布它,或保留它以备将来使用。我们已经完成了所有上述内容,并以案例为基础进行了决定。”
“如果这对IC或任何市场来说是正确的或错误的,那真的无关紧要,”Peterson说。“这是讨论负责任披露的价值。”
安全供应商ESET的高级研究员David Harley通过电子邮件表示,虽然他属于一个倾向于不受限制的披露的一代研究人员,但他可以理解漏洞研究人员期望有些东西以换取他们的努力。
但是,如果在工业控制系统中发现漏洞的安全研究人员并不能通过政府计划自我调节或支持他们的工作,他们冒险满足法律和其他形式的压力,因为可能影响国家安全的问题哈雷说,注意。
“Vupen奠定了一定数量的自我监管(根据对其客户的挑剔而言):我不知道revuln,但至少他们所做的不是完整,混杂的披露,”哈雷说。
“我不能说我觉得很满意,但是,对于在线世界而言,这可能是在线世界的合法化和货币化研究,而不是在线世界和非官方团体工作,”ESET研究人员说。“如果是这样,让我们希望在那个市场稳定下来没有做太多伤害。”
由于雷艾的客户选择流程,Auriemma表示,该公司“仅接受信任的国家/地区的客户。”