CISA（美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）近日發(fā)布安全警告稱，黑客通過侵入在線暴露的Unitronics可編程邏輯控制器(PLC)入侵了美國賓夕法尼亞州阿利基帕市的供水設(shè)施，試圖提高水泵壓力，導(dǎo)致該市水務(wù)部門被迫關(guān)閉系統(tǒng)，斷開PLC的互聯(lián)網(wǎng)連接，切換為手動操作。

PLC（可編程邏輯控制器）是工業(yè)網(wǎng)絡(luò)環(huán)境中至關(guān)重要的控制和管理設(shè)備，也是工控系統(tǒng)安全的“紅線”和最后一道防線，黑客一旦入侵PLC可能會造成嚴(yán)重后果，例如通過操縱設(shè)備改變化學(xué)劑量而造成供水污染。

在2021年的一次攻擊中，一名黑客侵入了佛羅里達(dá)州奧德馬爾市的水處理系統(tǒng)，并將氫氧化鈉的濃度提高到極其危險的水平（100倍），幸虧被操作員及時發(fā)現(xiàn)而未能釀成大禍。但在那次攻擊中，黑客只是通過TeamViewer軟件遠(yuǎn)程控制操作員的電腦，并未直接控制PLC。

水務(wù)系統(tǒng)遭受網(wǎng)絡(luò)攻擊的其他風(fēng)險包括系統(tǒng)中斷導(dǎo)致的供水中斷，以及水泵超載或開關(guān)閥門對基礎(chǔ)設(shè)施造成物理損壞。

CISA證實(shí)，此次針對賓夕法尼亞州阿利基帕市水務(wù)系統(tǒng)的黑客攻擊并未損害社區(qū)的飲用水安全。但在接受CNN采訪時，賓夕法尼亞州水務(wù)公司表示將替換被攻擊的以色列制造的PLC，以防攻擊事件再次發(fā)生。

CISA在安全通告中寫道：“攻擊者正在針對與供水設(shè)施相關(guān)的PLC，其中包括美國供水設(shè)施中使用的Unitronics PLC。受影響城市的水務(wù)部門立即關(guān)閉了系統(tǒng)并切換為手動操作——該城市的飲用水或供水沒有已知的風(fēng)險?！?/p>

CISA強(qiáng)調(diào)，黑客利用了自來水公司糟糕的安全管理措施，通過人機(jī)界面(HMI)攻擊Unitronics  Vision系列PLC，而不是利用產(chǎn)品上的零日漏洞。

雖然CISA的報告沒有透露攻擊者的信息，但根據(jù)Cyberscoop的報道，此次攻擊是由伊朗黑客組織Cyber Av3ngers實(shí)施的，后者成功劫持了以色列制造的Unitronics PLC，并在電腦屏幕傷顯示了“打倒以色列”的信息。

Cyber Av3ngers堪稱“水務(wù)系統(tǒng)攻擊專家”，此前通過入侵以色列科技公司Unitronics制造的水壓監(jiān)測設(shè)備已經(jīng)入侵了以色列數(shù)十個供水系統(tǒng)。

Cyber Av3ngers在X發(fā)布的一篇推文中寫道：“一旦我們獲得了他們的網(wǎng)絡(luò)的訪問權(quán)限，就可以操縱、擦除和破壞所有工業(yè)設(shè)備，例如SCADA系統(tǒng)、PLC、傳感器和HMI。”

CISA給水務(wù)系統(tǒng)管理員的安全緩解措施是：

• 替換默認(rèn)的Unitronics PLC密碼，確保不使用“1111”這樣的弱密碼。
• 為對運(yùn)營技術(shù)(OT)網(wǎng)絡(luò)的所有遠(yuǎn)程訪問（包括來自IT和外部網(wǎng)絡(luò)的訪問）實(shí)施MFA（多重身份驗(yàn)證）。
• 斷開PLC與開放互聯(lián)網(wǎng)的連接。如果需要遠(yuǎn)程訪問，使用防火墻/VPN設(shè)置來控制訪問。
• 定期備份邏輯和配置，以便在遭受勒索軟件攻擊時快速恢復(fù)。
• 避免使用默認(rèn)TCP端口20256，該端口通常是網(wǎng)絡(luò)攻擊者的目標(biāo)。如果可能，使用不同的TCP端口并使用PCOM/TCP過濾器以提高安全性。
• 將PLC/HMI固件更新至Unitronics提供的最新版本。

此前，CISA曾于2023年9月推出了針對供水設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施的免費(fèi)安全掃描計劃，使用CISA的代理運(yùn)行專門的掃描儀，識別設(shè)施暴露在互聯(lián)網(wǎng)上的端點(diǎn)，并發(fā)現(xiàn)已知被黑客利用的漏洞或錯誤配置。

然后，CISA每周向訂閱用戶發(fā)送包含行動建議的報告（上圖），同時進(jìn)行后續(xù)掃描以確定水務(wù)公司是否已采取必要措施來緩解先前披露的問題。

ISA（國際自動化協(xié)會）全球網(wǎng)絡(luò)安全聯(lián)盟的網(wǎng)絡(luò)安全專家和自動化工程師曾在2021年發(fā)布過一個開源工控系統(tǒng)PLC安全指南（https://www.plc-security.com/），提供了一個PLC安全清單，其中包含20條建議，用于在工業(yè)網(wǎng)絡(luò)發(fā)生安全事件或配置錯誤時提高PLC安全彈性。