摘要

國家計算機網(wǎng)絡(luò )與信息安全管理中心工業(yè)控制系統網(wǎng)絡(luò )安全應急技術(shù)工業(yè)和信息化部重點(diǎn)實(shí)驗室（以下簡(jiǎn)稱(chēng)“安全中心工控實(shí)驗室”）于2017年11月~2018年3月對某國外工業(yè)云平臺的通訊安全性開(kāi)展針對性研究，通過(guò)骨干網(wǎng)流量監測、仿真模擬測試等研究手段，發(fā)現xx云平臺在工業(yè)互聯(lián)網(wǎng)傳輸、工業(yè)APP應用、工業(yè)數據采集器等方面存在16處疑似安全漏洞；所發(fā)現漏洞有可能導致云平臺用戶(hù)名/密碼被竊取、非法上傳數據、云端重放攻擊等安全問(wèn)題；以上為初步研究結果，待與對方確認。

1 概述

本次研究主要面向某國外xx云平臺及APP手機應用，通過(guò)骨干網(wǎng)流量監測、仿真環(huán)境模擬測試等無(wú)害化評估手段，從工業(yè)互聯(lián)網(wǎng)傳輸安全、工業(yè)APP應用安全、工業(yè)數據采集組件安全、工業(yè)云平臺安全等維度開(kāi)展研究。發(fā)現安全漏洞共16處，其中傳輸安全漏洞5個(gè)，工業(yè)APP安全漏洞7個(gè)，工業(yè)數據采集器安全漏洞3個(gè)、云服務(wù)端安全漏洞1個(gè)。

2 數據采集器安全性評估

2.1 XX-BOX數據采集器介紹

XX數據采集器運行嵌入式系統，可以通過(guò)WLAN、3G 等網(wǎng)絡(luò )實(shí)時(shí)傳輸從以太網(wǎng)、RS485采集得到的數據傳給遠程云平臺服務(wù)器，同時(shí)接收指令來(lái)控制執行單元。

2.2 研究結果

XX數據采集器開(kāi)啟有http web服務(wù)，經(jīng)分析存在web 服務(wù)配置錯誤等漏洞隱患，有可能導致黑客非法上傳文件（如木馬、后門(mén)、病毒程序等），歸納如下：

2.3 安全分析

2.3.1 漏洞1：Web服務(wù)端443端口/TCP配置錯誤

詳細信息: XX數據采集器443端口/TCP允許客戶(hù)端執行上傳、刪除文件等危險的http操作。這樣黑客可以通過(guò)端口443向XX 數據采集器上傳木馬、病毒等惡意程序執行文件，并能夠對上傳文件執行刪除操作。

解決方法：修改web服務(wù)配置，禁用http方式通過(guò)443端口上傳或刪除文件。

漏洞2：Web服務(wù)端80端口/TCP配置錯誤

詳細信息: XX-BOX數據采集器80端口/TCP允許客戶(hù)端執行上傳、刪除文件等危險的http操作。這樣黑客可以通過(guò)端口80向XX 數據采集器上傳木馬、病毒等惡意程序執行文件，并能夠對上傳文件執行刪除操作。

解決方法：修改web服務(wù)配置，禁用http方式通過(guò)80端口上傳或刪除文件。

漏洞3：TCP時(shí)間戳可查詢(xún)

詳細信息：遠程主機可以查詢(xún)XX 數據采集器的TCP時(shí)間戳，從而獲取系統已運轉時(shí)間。

解決方法：禁用TCP時(shí)間戳。

3 “xx”工業(yè)APP安全性評估

3.1 “xx”工業(yè)APP介紹

“xx”工業(yè)APP是用戶(hù)管理、監控工控設備、與工業(yè)云平臺交互的手機應用程序，有iOS版和Antroid兩個(gè)版本。

3.2  研究結果

“xx”APP采用用戶(hù)名/口令登錄方式，缺乏用戶(hù)登錄次數限制等防護措施，黑客可實(shí)施暴力破解攻擊，獲取系統登錄權限，安全問(wèn)題嚴重。評估結果歸納如下：

序號	漏洞名稱(chēng)	漏洞描述	嚴重級別	后果
4	登錄密碼可暴力破解	APP未對登錄密碼的輸入次數進(jìn)行限制，也沒(méi)有驗證碼等措施，攻擊者可通過(guò)暴力破解方式，多次嘗試輸入猜測登錄密碼	高	暴力破解獲取系統用戶(hù)名/密碼，非法登錄系統獲取使用權限。
5	截屏錄屏風(fēng)險	攻擊者在用戶(hù)登錄時(shí)獲取屏幕狀態(tài)，捕獲用戶(hù)名和密碼等	中	可導致用戶(hù)名/密碼等敏感信息泄露
6	使用弱Hash API	APP在開(kāi)發(fā)過(guò)程中使用了iOS 系統的弱hash API	低	使用弱hash函數將導致hash碰撞，造成口令被猜測、撞庫等后果。
7	使用偽隨機數生成函數	APP在開(kāi)發(fā)過(guò)程中使用了偽隨機數生成函數rand	低	使用偽隨機數發(fā)生器將導致敏感文件被暴力破解的風(fēng)險。
8	不安全API調用	APP在開(kāi)發(fā)過(guò)程中使用了不安全API	中	使用不安全API有可能導致系統緩存溢出。
9	缺少反調試機制	APP缺少反調試機制，則在Root環(huán)境下，攻擊者可運行Cycript等調試工具尋找應用漏洞。	中	可在調試模式下發(fā)現系統安全漏洞。
10	未檢查越獄環(huán)境風(fēng)險	APP運行時(shí)沒(méi)有檢查手機操作系統是否是越獄版本	中	在越獄環(huán)境中容易被惡意應用乘虛而入，會(huì )對用戶(hù)個(gè)人信息及財產(chǎn)造成重大損失。

3.3 安全分析

3.3.1 漏洞4：登錄密碼可暴力破解漏洞

漏洞說(shuō)明：應用未對登錄密碼的輸錯次數進(jìn)行限制，或者客戶(hù)端登錄沒(méi)有驗證碼等限制，攻擊者可通過(guò)暴力破解方式，多次嘗試輸入猜測登錄密碼。

解決方法：應用應對密碼輸錯次數進(jìn)行限制。

漏洞5：截屏錄屏漏洞

漏洞說(shuō)明：錄屏、截屏是攻擊者竊取用戶(hù)敏感輸入信息的一種手段。攻擊者在用戶(hù)登錄時(shí)獲取屏幕狀態(tài)，獲取用戶(hù)名和密碼等，可導致用戶(hù)敏感信息泄露。

漏洞截圖

解決方法：在用戶(hù)輸入登錄密碼時(shí)使密碼不回顯

漏洞6：使用弱Hash API

漏洞說(shuō)明：使用反匯編工具對該APP的可執行文件進(jìn)行分析，發(fā)現該APP在開(kāi)發(fā)過(guò)程中使用了iOS 系統的MD5、SHA 1等弱hash API。

漏洞截圖

解決方法：開(kāi)發(fā)過(guò)程中請勿使用SHA 1等Hash API，否則有可能造成被保護數據泄露，建議使用SHA-224、SHA-256、SHA-384，和SHA-512等。

漏洞7：使用偽隨機數生成函數

漏洞說(shuō)明：使用反匯編工具對該APP的可執行文件進(jìn)行分析，發(fā)現該APP在開(kāi)發(fā)過(guò)程中使用了偽隨機數發(fā)生器rand，有可能導致敏感信息被暴力破解。

漏洞截圖

解決方法：開(kāi)發(fā)過(guò)程中建議使用arc4random等。

漏洞8：使用不安全API函數

漏洞說(shuō)明：使用反匯編工具對該APP的可執行文件進(jìn)行分析，發(fā)現該APP在開(kāi)發(fā)過(guò)程中使用了不安全的API函數imp_stubs_strlen、imp_stubs_strcmp，有可能導致緩存溢出。

漏洞截圖

解決方法：開(kāi)發(fā)過(guò)程中避免使用帶有潛在隱患的系統API，如strlcat代替strcat，strlcpy代替strcpy，strlcat代替strncat，strlcpy代替strncpy，snprintf代替sprintf，vsnprintf代替vsprintf，fgets代替gets。

漏洞9：工業(yè)APP缺少反調試機制

漏洞說(shuō)明：APP缺少反調試機制，在Root環(huán)境下，攻擊者可使用Cycript等調試工具在A(yíng)PP運行時(shí)尋找應用漏洞。

運行Cycript時(shí)的漏洞截圖

解決方法：

1、對用戶(hù)輸入數據進(jìn)行處理，避免顯示任何敏感信息。

2、對客戶(hù)端源碼進(jìn)行混淆，盡可能增加調試難度，最大限度隱藏自己的程序邏輯。

3.3.7 漏洞10：未檢查是否為越獄環(huán)境

漏洞說(shuō)明：APP缺少反調試機制，在Root環(huán)境下，攻擊者可使用Cycript等調試工具在A(yíng)PP運行時(shí)尋找應用漏洞。

漏洞截圖：APP在越獄iOS操作系統中運行截圖

解決方法：APP對運行環(huán)境是否為越獄進(jìn)行檢查。

4 通訊安全性評估

4.1 通信特征

“xx”工業(yè)App在與云端服務(wù)器端交互時(shí)采用不安全的SSL/TLS通信，存在明文傳輸用戶(hù)名和密碼等安全漏洞。

4.2 研究結果

4.3 安全分析

4.3.1 漏洞11：用戶(hù)名/密碼明文傳輸

詳細信息: 用戶(hù)登錄過(guò)程中，在與服務(wù)器端交互時(shí)明文傳輸用戶(hù)名和密碼等，可導致用戶(hù)敏感信息泄露。

漏洞截圖：采用Charles等抓包工具捕獲的用戶(hù)名/密碼明文信息。

解決方法：敏感信息傳輸采用加密通訊。

漏洞12：安全通信SSL/TLS中的Cookie缺少secure屬性

詳細信息: 由于Cookie 未使用secure屬性，這將允許cookie 通過(guò)http等非安全通道進(jìn)行傳輸，使黑客能夠進(jìn)行會(huì )話(huà)劫持攻擊。cookie 的唯一必需屬性是“name”字段，常見(jiàn)的可選屬性如:“comment”、“domain”、“path”等等。必須相應地設置“secure”屬性，才能防止以未加密的方式發(fā)送cookie。RFC 2965 指出：“Secure 屬性（不含值）會(huì )指導用戶(hù)代理程序不管何時(shí)返回此cookie，都只用（未指定）安全方法來(lái)聯(lián)絡(luò )原始服務(wù)器，以保護cookie 中的信息的機密性和真實(shí)性?！?。

解決方法：云服務(wù)端開(kāi)啟Https傳輸時(shí)，為所有敏感cookie的添加Secure屬性。

漏洞13：安全通信SSL/TLS 加密套件（Cipher Suites）漏洞

詳細信息:安全通信采用低版本SSL/TLS協(xié)議，接受存在安全問(wèn)題的加密套件。由于使用低版本SSL/TLS協(xié)議，服務(wù)接受如下存在漏洞的加密套件：TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32) （漏洞CVE-2016-2183）；TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32) （漏洞CVE-2016-6329）。使得采用以上加密套件的加密內容可以被黑客破解，導致信息泄露。

解決方法：使用TLSv1.2以上版本安全通信協(xié)議，或者更改遠程服務(wù)安全通信配置，使其不再接受存在漏洞的加密套件。

漏洞14：工業(yè)云平臺端遠程通信接受弱加密SSL/TLS 加密套件

詳細信息：安全通信采用TLSv1.0協(xié)議，支持接受弱加密SSL/TLS加密套件,具體如下：

TLS_RSA_WITH_RC4_128_MD5（漏洞：CVE-2013-2566）

TLS_RSA_WITH_RC4_128_SHA（漏洞：CVE-2015-2808）

弱加密套件采用的加密算法容易被攻擊者暴力破解，導致傳輸數據被黑客監聽(tīng)。

解決方法：使用TLSv1.2以上版本安全通信協(xié)議，或者修改SSL/TLS配置，使其不再接受弱加密套件（Cipher Suites）

漏洞15：安全通信Diffie-Hellman密鑰交換DH group安全強度不足

詳細信息：安全通信SSL/TLS服務(wù)使用DH groups密鑰大小為1024位，安全強度不足，有可能被破解。

解決方法：采用橢圓曲線(xiàn)Diffie-Hellman（ECDHE）或者使用2048位的DH groups。

5 “xx”工業(yè)云平臺安全性評估

5.1 “xx”工業(yè)云平臺介紹

“xx”工業(yè)云平臺是面向企業(yè)產(chǎn)品的數字化信息追蹤平臺+設計、生產(chǎn)、運行和維護的全方位服務(wù)組合，目標是實(shí)現覆蓋產(chǎn)品全生命周期的：數據可追溯、預防性維護、商業(yè)智能化、服務(wù)規?；?，結合設備運行參數、能耗數據分析和專(zhuān)家服務(wù)能力，可幫助設備使用用戶(hù)保證穩定運行、提升生產(chǎn)效率、降低能源成本。也是機器設備廠(chǎng)依據采集的數據實(shí)現商業(yè)智能，機器優(yōu)化，業(yè)務(wù)創(chuàng )新等。

5.2 研究結果

5.3 安全分析

5.3.1 漏洞16：云服務(wù)端無(wú)法抵御重放攻擊風(fēng)險

詳細信息: 把截獲的用戶(hù)APP登錄報文、創(chuàng )建工單報文等直接發(fā)給云服務(wù)器，云服務(wù)端并沒(méi)有對重放次數進(jìn)行限制，攻擊者可對服務(wù)器端發(fā)起dos攻擊。

漏洞截圖：

創(chuàng )建工單時(shí)使用POST請求，將日期、內容、用戶(hù)id等信息通過(guò)POST請求https://mobile.mm.xxxxx.com/api/tickets/create?platform=android&version=1.5.14&username=cncert來(lái)創(chuàng )建工單。

報文重放后，返回數據與原請求返回數據一致，由上圖可見(jiàn)，重放的報文在A(yíng)PP中創(chuàng )建了兩個(gè)工單，攻擊者可通過(guò)偽造報文在云服務(wù)端創(chuàng )建多個(gè)惡意工單。

來(lái)源：工業(yè)互聯(lián)網(wǎng)安全應急響應中心