Spectre和Meltdown攻击对工控环境的影响

“

全文 1150 字

预计阅读时间 4 min

”

近期披露的Spectre和Meltdown漏洞占据了各大媒体的头条；这两个漏洞影响了全世界绝大多数的计算机设备，波及工作站、服务器、移动电话、平板电脑。受影响的操作系统包括基于2010后Intel芯片的Windows，Linux，Android，Google Chrome OS，Apple MacOS。基于AMD、ARM和其他芯片组的设备也受到了影响。

Spectre和Meltown是两个不同但互相关联的漏洞。Spectre包含CVE-2017-5753（bound check bypass）和CVE-2017-5715（branch target injection）两个漏洞，Meltown则是CVE-2017-5754（rouge data cache load）。

这些漏洞使得系统容易受到“旁路”攻击；旁路攻击通常依靠硬件的植入，而不是直接攻击逻辑或代码。此类攻击的特征通常包括跟踪电磁辐射(例如TEMPEST)、监视电力消耗、分析指示灯频闪、分析缓存等等。

哪些设备的风险较高？

一台设备是否有较高风险取决于多种因素，例如芯片组、固件版本等等。毋庸置疑的是近期会有针对上述漏洞的深度研究和修补程序。

大量HMI人机交互系统、面板和显示器使用了上述受影响的芯片，而一些PLC供应商则仍在评估此次事件的威胁程度。

有较大几率受到影响的设备包括许多支持工业控制的自动化系统、批量控制系统、生产控制服务器、打印机、OPC系统、SCADA系统、外设硬件，以及工业物联网设备，例如相机、传感器等等。然而虽然Spectre和Meltdown漏洞在这些系统中存在，但并不意味着这些工业控制设备就一定会受到影响。

对工业控制设备和系统有何影响

黑客可以使用Spectre和Meltdown漏洞入侵设备，从而获得系统内的高权限数据。这些漏洞并不会使黑客随意访问设备，而只是让受限的数据能够被黑客读取。换句话说，黑客如果要实施攻击，依然需要攻入系统（而不是读取数据）。

虽然上述漏洞使得类似云主机的多用户系统受到了很大的威胁，但对于单用户系统来说，这并没有构成很大威胁。

做一个类比：上述漏洞就好比你获得了读心能力——当且仅当你与目标同处一室。你能够读取一些本应是私有的数据，例如秘密、保密或敏感的数据，甚至更多。

如果屋子里只有你一个人，那么你就已经获得了这个屋子里的所有人的所有秘密——你自己的秘密。这时能否读心已经没有任何关系了；已经知道了自己的秘密，那读自己的心有什么意义呢？

概括的说，这就是Spectre和Meltdown的意旨所在。多用户环境中必须把不同用户间的数据严格隔离，而上述漏洞就是实施攻击的有效途径。

既然工控环境里没有多用户设备，这些漏洞使得某用户能够获得的数据就是该用户已有的全部自身信息。

如何有效降低系统风险？

为了降低系统风险，首要任务就是意识到工控环境里面到底都存在哪些设备；如果设备从未登记在册，对它们的保护就无从谈起。因此，自动化的资产归档工具就是理解工控网络中哪些设备存在风险和需要注意的必要手段。

接下来，拥有对设备库的纵深可视化工具非常关键。没有可视化工具，你手上就只有一份工业设备清单，需要根据这份清单进行人工排查来确定硬件模块是否已经被恶意程序感染。

自动化工控资产归档工具同时也是用来识别脆弱设备和跟踪设备修补进度的有效途径。

最后，黑客如果想要利用上述漏洞进行攻击，就必须能够访问目标设备存在的特定网络。所以一套有效的网络监控系统就显得至关重要。网络监控系统能够了解网段中设备的连接情况、通信情况，同时还能够对关键资产的修改进行识别。

木链

Bolean ｜ 木链科技