聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

本周二,网络安全公司IOActive 的研究人员指出,可通过条形码扫描器入侵工业控制系统 (ICS)

此前,黑客曾演示了如何通过工业条形码扫描器将击键远程注入扫描器连接的电脑中,从而攻陷电脑。

研究人员一直在关注工业条形码扫描器,他们研究了机场行李处理系统使用的 SICK CLV65X 固定式条形码扫描器。这些条形扫码器由德国传感器厂商 SICK 制造,主要用于工业自动化应用。这些设备可以扫描“配置文件程序设计”条形码,涉及自定义的 CODE128 条形码。扫描此类条形码可修改设备的设置,整个过程直接完成,无需主机计算机操作。问题在于,这个流程并不牵涉任何认证机制,可导致攻击者创建恶意条形码,用易受攻击的扫描器进行扫描时可导致联网设备无法工作,或者修改设置以便于后续实施攻击活动。这些安全专家警告称,可以通过多种方式利用同样的攻击向量并攻击其它行业。

研究人员通过逆向工程,找到了生成配置文件程序设计条形码的逻辑并证实这些条形码和具体的设备型号之间不存在关联性。

IOActive 公司在2020年2月将问题告知 SICK 公司,后者已在5月31日发布安全公告。

SICK 在安全公告中指出,“攻击者如能向受影响的且启用‘配置文件程序设计’的设备展示受控的特殊条形码,那么就能在无需认证的前提下更改配置,从而对设备的可用性、完整性和机密性产生影响。”

SICK 公司建议客户禁用默认为启用状态的配置文件程序设计功能。具体禁用方式可见该公司发布的安全公告:

https://www.sick.com/us/en/service-and-support/the-sick-product-security-incident-response-team-sick-psirt/w/psirt/。

推荐阅读

我从1组工控系统蜜罐中捞了4个 0day exploits

MITRE 发布工控系统的 ATT&CK 框架

原文链接

https://www.securityweek.com/researchers-show-how-hackers-can-target-ics-barcode-scanners

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ,加油鸭~

通过条形码扫描器攻击工控系统相关推荐

  1. 解惑烟草行业工控系统如何风险评估

    上周五下午,威努特工控安全联合创始人 赵宇 先生,带来了一场关于"工控系统的风险评估"的技术讲座.此次近200注册报名的朋友,来自各大高校.国企.外企.测评中心.安全厂商.大型集成 ...

  2. MITRE 发布工控系统的 ATTCK 框架

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周二,MITRE宣布发布第一版 ATT&CK 知识库,涵盖恶意行动者在攻击工业控制系统时使用的战术和技术. MITRE 的AT ...

  3. 工控系统的全球安全现状:全球漏洞实例分析

    工控系统的全球安全现状:全球漏洞实例分析 一.摘要 ​ 运营技术(OT).网络和设备,即工业环境中使用的所有组件,在设计时并未考虑到安全性.效率和易用性是最重要的设计特征,然而,由于工业的数字化,越来 ...

  4. 工控系统主动安全防御体系的构建

    目录 前言 一.工控安全事件 二.工控安全面临的主要风险 1.外围系统风险 2.过程控制风险 3.工控设备风险 三.工控系统主要使用的安全防御技术 1.传统安全防御技术 2.PKI数字证书技术 3.I ...

  5. 【肥海豹】-网络安全等级保护(等保)-2020体系会-工控系统学习笔记

    讲解专家:电子六所 衣然 一.工业控制系统基本概念 工业控制系统是对生产过程.工艺流程的监控和管理的集合: 工业控制系统是国家工业领域关键信息基础设施的核心系统: 工业控制系统五层架构: 现场设备层. ...

  6. 工控系统的安全噩梦,网络攻击工控系统的五大案例

     70%的IT和运营技术专业人员担心网络攻击会造成计算机和工业系统的物理损坏,这些损坏不仅需要耗费大量财力进行灾后恢复,严重的甚至可能危及人命. 今年3月,美国各机构警告称,俄罗斯政府部门正在针对 ...

  7. 针对工控系统的TRITON入侵活动由俄罗斯研究所支持 ||朝鲜Lazarus组织Battle Cruiser活动再度来袭...

    路过大佬点个关注,就差几个人了 一.针对工控系统的TRITON入侵活动为俄罗斯实验室所支持 TRITON,是针对工业控制系统(ICS)的恶意软件系列之一.火眼将这一系列活动称为TEMP.Veles. ...

  8. 工控计算机安全评估,工控系统信息安全的威胁发现及评估技术研究

    摘要: 工业控制系统(Industrial Control Systems,ICS)遍及石油.化工和电力等行业,随着信息化和工业化逐渐融合,使得工控系统内部通信网络逐渐与互联网互联互通.不可避免的打破 ...

  9. 工控系统安全测试平台及攻防验证【会议】

    工控系统安全测试平台及攻防验证 写在前面的话 会议记录 写在前面的话 <网络空间安全青年科学家长安论坛>,本篇博客为广州大学田志宏老师的报告内容. 会议记录

最新文章

  1. 测试开发面试集锦-测试方面(搬运)
  2. Java获取近七天的数据条数,及页面实现折线图(附前后端代码)
  3. AcWing 211. 计算系数
  4. 5g通用模组是什么_中国移动联合芯讯通发布5G终端、芯片及测试产业报告
  5. Hibernate缓存 - 第一级缓存
  6. HTTP学习笔记1-基本定义
  7. Venture Sprint创新冲刺:源自硅谷设计 感知创新力量
  8. 简单实用读取字符串信息的c++类
  9. pgsql与mysql数据类型对比_PostgreSQL和mysql数据类型对比兼容
  10. 来给PPT添加一个进度条和页码吧
  11. python全套视频免费教程_《python免费视频教程33》 请问谁有靠谱的Python全套视频教程,求推荐分享...
  12. CSS3之颜色渐变效果
  13. simulink 全桥逆变无控整流DC-DC电路
  14. 来来来!docker清华源
  15. Packet Tracer - 排除 VLAN 间路由故障
  16. POI DataValidation 删除数据有效性验证
  17. 1497_费曼技巧之他人观
  18. ObjectArx自定义实体入门(C++)及注意事项
  19. 性别识别_文字性别识别_语音性别识别 - 云+社区 - 腾讯云
  20. esp8266模块的使用(详解) 入门必备

热门文章

  1. 【Android】PA4D_CH6 使用Internat资源
  2. 企业级备份方案系列PART3:SCDPM 2012备份/恢复Exchange2010
  3. 简单几行javascript代码,实现动态倒计时功能
  4. 如何在win10系统上安装linux子系统
  5. Struts2(补充)
  6. DAppDiscover | 盘点2018年度十大DAPP
  7. React Native Fetch封装那点事...
  8. 今天在群里面讨论了驱动机制的学习
  9. [python基础]关于中文编码和解码那点事儿
  10. 优化SQL的执行速度