Triton恶意软件利用0day漏洞攻击施耐德电气设备

近期披露的名为“Triton”和“Trisis”的恶意软件利用一个施耐德电气的Triconex Safety Instrumented System（SIS）控制器中的0 day漏洞对关键基础设施进行了攻击。

“

全文 1009 字

预计阅读时间 4 min

”

该恶意软件被设计用来专门针对工业控制系统（ICS），最早在中东一次设施停车中被发现。FireEye和Dragos都针对它发布了详细的报告。

Triton用来专门针对施耐德电气的Triconex SIS设备。这些SIS设备是用来监视过程状态并将其恢复到安全状态，或在状态参数达到潜在的危险状态下使设备安全停车的。Triton恶意软件使用了TriStation专用的协议来与SIS控制器进行交互，包括进行程序和函数的读写。

施耐德电气最初确信Triton并没有利用漏洞攻破该公司的产品，但现在该公司已经正式通知其客户 Triton 确实利用了一个存在于旧版Triconex Tricon 系统中的漏洞。

施耐德电气表示，上述漏洞仅存在于少数旧版系统中，并且未来数周中会发布一个补丁（来解决该问题）。与此同时，该公司也在开发一个用来在控制器上扫描Triton恶意软件并将其清除的工具，预计将于2月发布。

施耐德电气指出，即便该漏洞存在，假如各组织部署了安全措施并遵循“最佳实践”的话，Triton恶意软件也不会得逞。

详细地说，Triton恶意软件当且仅当SIS设备被设置为PROGRAM模式时才能攻入该设备。施耐德电气建议当SIS设备不在编程过程中时，不要将SIS设备设为PROGRAM模式。如果被攻击的基础设施组织当初遵循了该建议，恶意软件就不会攻入控制系统，那么即便漏洞存在也不会产生影响。所以施耐德公司将漏洞描述为“复杂攻击中的一个微小环节”。

施耐德电气表示其SIS产品功能与设计一致——当检测到潜在的危险情况时使控制系统安全停车。目前还没有任何因为产品遭恶意软件攻击而导致的对客户人身或环境的影响。

在公司发布的一份建议中，施耐德电气同时告知其客户，Triton恶意软件具有扫描和建立系统拓扑的能力。

“该恶意软件能够扫描工业控制系统并建立网络拓扑，来实现信息侦察，并向Tricon控制器发送指令。这类恶意软件被归类为远程访问木马（RAT），一旦感染，就能够通过远程网络连接来进行‘有物理权限一般的’系统控制。”施耐德电气指出。

施耐德电气已经向用户发出建议，强烈推荐用户依据Triconex产品文档中的“安全考量”章节落实安全措施。该指南建议将Triconex控制器放在上锁的机柜中，并且当控制器被设置为“PROGRAM”模式的时候在醒目处显示警报。

虽然Triton/Trisis攻击真正的幕后黑手目前还不清楚，但是研究人员认为此次攻击的复杂程度显示出有国家资助的黑客参与其中。工业网络威胁情报公司CyberX根据对Triton的分析，确信该恶意软件由伊朗黑客开发，攻击目标是沙特阿拉伯。

木链

Bolean ｜ 木链科技