【制水危機】英國供水公司兩宗罪 採用家庭版router兼未堵塞已知漏洞
Microsoft安全專家發出警告,不少企業未有做好 IoT(物聯網)設備的安全防護,連帶一些工業控制系統也曝露在網絡攻擊之下,而在研究報告中,就發現有一間英國供水公司,竟只採用存在已知漏洞的家庭版 Wi-Fi router,黑客入侵後便可隨時干擾供水系統,造成大規模制水。
隨著愈來愈多企業引入 IoT 設備,但又缺乏安全管理,成為網絡安全業界其中一個最迫切需要解決的問題。過往透過不安全 IoT 裝置入侵企業內部網絡的事故經常發生,例如澳門一間賭場,便因其智能魚缸溫度計存在漏洞,令黑客成功入侵盜竊客戶資料。而 Microsoft Defender Threat Intelligence 團隊發現的英國供水公司漏洞,便與其他個案非常類似。
專家解釋,當團隊使用一些開源工具掃描網絡上存在的 IoT 設備時,便發現了 Draytek 一款家用版 Vigor router 及其他無線設備曝露於互聯網上,經仔細調查,專家指這款 router 在兩年前曾被發現存在安全漏洞,更有感染個案將設備變成 Mirai 殭屍網絡,而生產商已在短時間內推出修補檔。不過,該供水公司卻未為設備升級,只要有黑客發現,便可透過漏洞遙距執行惡意編碼,繼而入侵其內部網絡,如該公司的工業水利控制系統(SCADA)與內部網絡直連,黑客便可隨意控制供水設備,甚至可執行勒索軟件攻擊,完全癱瘓系統運作,便會引發英國部分地區出現制水問題。
專家認為大部分因 IoT 引發的安全問題,除了因為未有更新已知漏洞外,還跟以下四種情況有關:
1. 缺乏完整的 IoT 及 OT 安全解決方案,在採用不同安全工具情況下,整個系統便會缺乏透明度,IT 管理員便無法完全監管所有設備的安全狀況,亦無法第一時間發現漏洞並採取適當的應變措施。
2. 未有定期進行安全評估,便不可能發現有哪些設備存在已知漏洞,即時執行升級。
3. 將非必要的 IoT 設備曝露在互聯網上,便會增加被發現及入侵的機會,專家建議必須做好網絡隔離(network segmentation),特別是工業控制系統,必須完全切斷與互聯網的連繫,並嚴格控制存取權限。
4. 仍舊採用弱密碼或出廠密碼,只要黑客使用暴力破解(brute-force)手段,便可極速取得管理員權限,因此專家建議應啟用多重因素驗證(MFA)功能,即使員工的帳戶登入資料被盜,黑客也無法簡單取用系統。
