今日頭條
官方微信
官方抖音
資訊頻道國(guó)內(nèi)工業(yè)物聯(lián)網(wǎng)發(fā)展迅速,無(wú)線(xiàn)數(shù)據(jù)采集與傳輸是工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)通信中重要的采集方式和組網(wǎng)方式,DTU在無(wú)線(xiàn)數(shù)據(jù)采集所涉及到的供熱、燃?xì)狻庀蟮仁姓攸c(diǎn)工業(yè)領(lǐng)域應(yīng)用及其廣泛。最近燈塔實(shí)驗(yàn)室對(duì)國(guó)內(nèi)暴露在互聯(lián)網(wǎng)的DTU數(shù)據(jù)中心(DSC)進(jìn)行了全網(wǎng)掃描,并對(duì)已發(fā)現(xiàn)的DTU中心站進(jìn)行了深入的行業(yè)應(yīng)用和用戶(hù)所屬單位分析。
一、關(guān)鍵詞定義
DTU:數(shù)據(jù)終端單元(Data Transfer unit)。
DSC:數(shù)據(jù)服務(wù)中心(Data Service Center),即DTU中心站,DTU通過(guò)無(wú)線(xiàn)GPRS/CDMA網(wǎng)絡(luò)將數(shù)據(jù)上傳至中心站監(jiān)聽(tīng)的某個(gè)端口。
DDP:DTU和數(shù)據(jù)服務(wù)中心(DSC)之間的通訊協(xié)議。
二、應(yīng)用場(chǎng)景
在工業(yè)現(xiàn)場(chǎng)中,存在許多現(xiàn)場(chǎng)是有線(xiàn)無(wú)法到達(dá)的場(chǎng)景,DTU無(wú)線(xiàn)數(shù)據(jù)終端基于GPRS/CDMA數(shù)據(jù)通信網(wǎng)絡(luò),可專(zhuān)門(mén)用于將串口數(shù)據(jù)轉(zhuǎn)換為IP數(shù)據(jù)或?qū)P數(shù)據(jù)轉(zhuǎn)換為串口數(shù)據(jù),并通過(guò)無(wú)線(xiàn)通信網(wǎng)絡(luò)進(jìn)行傳輸,目前廣泛應(yīng)用在電力、環(huán)保監(jiān)測(cè)、車(chē)載、水利、金融、路燈監(jiān)控、熱力管網(wǎng)、煤礦、油田等行業(yè)。
三、DTU數(shù)據(jù)中心指紋特征分析
DTU與DSC中心站通信可使用TCP/UDP方式,DTU會(huì)根據(jù)配置主動(dòng)連接DSC中心站IP和開(kāi)放的數(shù)據(jù)服務(wù)端口進(jìn)行數(shù)據(jù)上傳。
通信端口
根據(jù)廠家和應(yīng)用的不同,DSC開(kāi)放的數(shù)據(jù)上傳端口也不盡相同,我們根據(jù)廠商官方提供的一些解決方案和文檔,搜集了一些知名廠商的默認(rèn)端口,具體如下:
協(xié)議介紹
DDP協(xié)議(DTU DSC Protocol)是DTU與DSC之間的通訊協(xié)議,DDP是一種廠商定義的私有公開(kāi)性質(zhì)的通信協(xié)議,用于數(shù)據(jù)的傳輸和DTU管理,對(duì)于DDP協(xié)議廠商一般會(huì)提供協(xié)議文檔和SDK開(kāi)發(fā)包,用戶(hù)可以通過(guò)組態(tài)軟件或開(kāi)發(fā)包,將數(shù)據(jù)中心集成到自己的平臺(tái)軟件中,國(guó)內(nèi)的組態(tài)王、三維力控、昆侖通態(tài)、紫金橋等著名組態(tài)軟件公司也均可以對(duì)接DTU實(shí)現(xiàn)數(shù)據(jù)采集。
以DTU市場(chǎng)占有量較高的宏電公司的DTU為例,宏電DDP協(xié)議官方提供了通信協(xié)議文檔和數(shù)據(jù)中心SDK樣例可供用戶(hù)進(jìn)行二次開(kāi)發(fā)和集成。
宏電DDP協(xié)議數(shù)據(jù)幀格式
起始標(biāo)志 包類(lèi)型 包長(zhǎng)度 DTU 身份識(shí)別 數(shù)據(jù) 結(jié)束標(biāo)志
(1B) (1B) (2B) (11B) (0~1024B) (1B)
0x7B 0x7B
宏電DDP協(xié)議DTU請(qǐng)求功能類(lèi)型
指紋構(gòu)造
通過(guò)構(gòu)造符合DDP協(xié)議的DTU“注冊(cè)”請(qǐng)求發(fā)送到DSC中心站,可以作為識(shí)別中心站的一種手段,如果目標(biāo)應(yīng)用的端口運(yùn)行有中心站服務(wù)將會(huì)返回符合DDP協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包。
四、安全隱患分析
DTU與DSC中心站之間通信使用的DDP協(xié)議構(gòu)造簡(jiǎn)單,通信時(shí)一般使用DTU中插入的SIM卡的11位手機(jī)號(hào)碼作為“身份識(shí)別”的手段,DTU主動(dòng)鏈接DSC中心站開(kāi)放的TCP/UDP端口上傳數(shù)據(jù),并且以明文方式傳輸,從目前DTU無(wú)線(xiàn)數(shù)據(jù)遠(yuǎn)傳的通信模型上來(lái)看,最易受攻擊的攻擊面主要在DSC中心站上。
根據(jù)我們的本地分析與測(cè)試,暴露在互聯(lián)網(wǎng)的DTU中心站易受到如下攻擊:
終端偽造風(fēng)險(xiǎn)
根據(jù)DTU與DSC中心站的通信協(xié)議,攻擊者可以構(gòu)造任意手機(jī)號(hào)碼(11個(gè)字節(jié)的DTU身份識(shí)別標(biāo)識(shí))的“注冊(cè)”請(qǐng)求,如果用戶(hù)的應(yīng)用邏輯上沒(méi)有判斷該手機(jī)號(hào)碼是否可信,該設(shè)備將可以被注冊(cè)到DSC中心站。
數(shù)據(jù)偽造風(fēng)險(xiǎn)
攻擊者可以構(gòu)造任意手機(jī)號(hào)碼(11個(gè)字節(jié)的DTU身份識(shí)別標(biāo)識(shí))的“注冊(cè)”請(qǐng)求,并在同一時(shí)間或一段時(shí)間內(nèi)發(fā)送大量“注冊(cè)”登錄請(qǐng)求到DSC中心站,對(duì)于未做身份標(biāo)識(shí)驗(yàn)證和判斷的DSC中心站應(yīng)用將會(huì)消耗大量系統(tǒng)資源,甚至導(dǎo)致中心站的采集應(yīng)用崩潰,所有DTU設(shè)備無(wú)法鏈接至DSC中心站,使數(shù)據(jù)采集中斷。
終端枚舉風(fēng)險(xiǎn)
DTU與DSC中心站之間使用11位手機(jī)號(hào)碼作為“身份識(shí)別”,攻擊者如果知道DTU終端的11位手機(jī)號(hào)碼,即可以偽造對(duì)應(yīng)的終端進(jìn)行數(shù)據(jù)上傳或?qū)⒔K端請(qǐng)求注銷(xiāo),如果確定了該應(yīng)用場(chǎng)景或準(zhǔn)確的地市區(qū),針對(duì)終端號(hào)碼的枚舉或爆破將會(huì)縮小到較小的嘗試范圍。
五、DTU數(shù)據(jù)中心聯(lián)網(wǎng)分布
鑒于DSC中心站各家應(yīng)用開(kāi)放端口不一致的情況,我們實(shí)驗(yàn)室對(duì)國(guó)內(nèi)3億IP超過(guò)160個(gè)常用于發(fā)布DDP服務(wù)的端口進(jìn)行了識(shí)別掃描,其中發(fā)現(xiàn)運(yùn)行有DDP協(xié)議服務(wù)的主機(jī)超過(guò)了8800個(gè),具體分布如下:
廣東 1998
香港 1052
浙江 710
上海 676
北京 631
廣西 556
江蘇 500
山東 427
福建 251
河北 212
天津 208
四川 171
湖北 164
遼寧 144
安徽 125
河南 119
云南 99
新疆 88
中國(guó) 84
甘肅 81
湖南 80
陜西 73
黑龍江 71
吉林 66
江西 58
山西 57
重慶 48
內(nèi)蒙古 41
貴州 41
青海 22
西藏 17
海南 17
寧夏 9
總計(jì) 8896
發(fā)布DDP服務(wù)最多的前30個(gè)端口:
排行 端口 暴露數(shù)量
1 5060 1302
2 9999 1248
3 5002 802
4 60000 575
5 55555 547
6 50123 537
7 51960 418
8 65000 392
9 61697 385
10 2000 296
11 3000 234
12 8000 204
13 6000 108
14 1025 92
15 5001 88
16 6004 87
17 33333 81
18 10001 76
19 5000 75
20 60001 69
21 5007 67
22 5003 61
23 5005 61
24 8001 60
25 4000 56
26 6002 45
27 7001 41
28 7000 40
29 5004 39
30 8888 32
六、聯(lián)網(wǎng)企業(yè)與應(yīng)用分析
根據(jù)對(duì)掃描到的數(shù)據(jù),我們實(shí)驗(yàn)室通過(guò)IP開(kāi)放服務(wù)、IP位置,分析驗(yàn)證了運(yùn)行公網(wǎng)的DSC中心站所屬的企業(yè)和單位,具體行業(yè)分布如下,我們目前已經(jīng)準(zhǔn)確驗(yàn)證了超過(guò)300家公司和單位的DDP服務(wù)暴露情況。
七、解決方案與應(yīng)對(duì)策略
在本次針對(duì)DSC數(shù)據(jù)中心站的安全分析的過(guò)程中,像終端使用GPRS/CDMA直接經(jīng)過(guò)互聯(lián)網(wǎng)與中心站的固定/動(dòng)態(tài)IP進(jìn)行通信,這種快捷、廉價(jià)的組網(wǎng)應(yīng)用廣泛,目前雖然沒(méi)有出現(xiàn)專(zhuān)門(mén)針對(duì)此類(lèi)系統(tǒng)公開(kāi)的攻擊事件,但根據(jù)我們的判斷,對(duì)于DDP協(xié)議這種ICS協(xié)議暴露將縮短攻擊者發(fā)現(xiàn)重要工業(yè)控制系統(tǒng)入口的時(shí)間,隨著DDP服務(wù)的開(kāi)放易導(dǎo)致該IP目標(biāo)成為針對(duì)性的被攻擊對(duì)象,我們建議使用此類(lèi)組網(wǎng)的用戶(hù),尤其應(yīng)該做好邊界入口的安全防護(hù)、應(yīng)用服務(wù)(Web、Telnet、SSH)的安全加固、主機(jī)安全配置。
燈塔實(shí)驗(yàn)室依據(jù)工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》以及相關(guān)國(guó)家標(biāo)準(zhǔn),給出如下具體應(yīng)對(duì)建議:
身份認(rèn)證
我們建議在互聯(lián)網(wǎng)開(kāi)放DDP服務(wù)的用戶(hù),應(yīng)檢查除DDP服務(wù)以外,如Telnet、SSH、Web服務(wù)等服務(wù)配置的安全性,避免使用默認(rèn)口令或弱口令,合理分類(lèi)設(shè)置賬戶(hù)權(quán)限,以最小特權(quán)原則分配賬戶(hù)權(quán)限,對(duì)于關(guān)鍵系統(tǒng)和平臺(tái)的訪(fǎng)問(wèn)采用多因素認(rèn)證。
遠(yuǎn)程訪(fǎng)問(wèn)安全
我們推薦有條件的用戶(hù)在中心與終端之間使用電信運(yùn)營(yíng)商提供的APN專(zhuān)網(wǎng)進(jìn)行組網(wǎng),DTU的SIM卡開(kāi)通專(zhuān)用APN接入,使用APN專(zhuān)線(xiàn)后所有終端及數(shù)據(jù)中心分配的IP地址均為電信運(yùn)營(yíng)商的內(nèi)網(wǎng)IP地址,通過(guò)APN專(zhuān)網(wǎng)終端與數(shù)據(jù)中心的數(shù)據(jù)通信無(wú)需通過(guò)公網(wǎng)進(jìn)行傳輸,專(zhuān)網(wǎng)實(shí)現(xiàn)了端到端加密,避免了中心在互聯(lián)網(wǎng)開(kāi)放網(wǎng)絡(luò)端口。
文章來(lái)源:燈塔實(shí)驗(yàn)室
北京市公安局海淀分局備案號(hào):11010802023656號(hào)