2017年能源行业10大漏洞盘点

2017年是能源行业信息安全飞速发展的一年。随着《网络安全法》的正式实施，能源行业大部分系统作为关键信息基础设施，重要性不言而喻；2017年也是技术创新的一年，伴随着云计算、大数据、物联网、移动互联在能源行业的深化应用，石油石化、电网电厂、烟草制造等行业的系统日益先进；2017年又是安全事件高发的一年，WannaCry、挖矿、工业控制系统漏洞、物联网安全问题等，一次次敲响警钟。公安部、国家能源局等监管机构也针对对能源行业开展了全面的网络安全检查工作。

下面绿盟君将盘点2017年在能源行业领域中，总结出来的年度10大安全漏洞。

1. WannaCry

从2017年5月12日开始，WannaCry勒索软件在世界范围内迅速传播，席卷全球150多个国家，感染接近23万台计算机设备，导致部分政府系统业务、机场、加油站瘫痪，造成极大影响。

该勒索软件利用方程式组织泄漏的大量Windows漏洞文件中的一个SMB漏洞（MS17-010），但由于部分用户没能及时安装修复该漏洞，导致了该勒索软件的大规模感染及攻击。

在2017年的事件处理过程中，我们发现能源行业内网服务器、办公网PC机以及大量打印机都开放SMB端口，并且存在Windows SMB历史遗留漏洞未更新补丁的情况，正是由于内网环境的安全风险被忽视，补丁的不及时更新和不常用端口的管制存在缺陷，导致了能源行业内网WannaCry勒索软件的流行和大量传播。

2. Apache Struts2 远程代码执行漏洞(S2-045)

漏洞频出的 Apache Struts 2 在2017年依旧引人关注。在3月初，Struts2的Jakarta Multipart parser插件被暴出存在远程代码执行漏洞，漏洞编号为CNNVD-201703-152（CVE-2017-5638）。攻击者可以在使用该插件上传文件时，修改HTTP请求头中的Content-Type值来触发该漏洞，导致远程执行代码。

由于默认情况下jakarta是启用的，而S2-045的利用无需任何前置条件，因此危害严重，影响范围很广。

根据绿盟威胁情报中心NTI关于Struts2漏洞范围分布图统计显示，全球范围内中国是遭受影响最严重的国家，其中存在该漏洞影响的威胁地区排名靠前的为浙江、北京和江苏。

在2017年的事件处理过程中，我们发现能源行业在对互联网发布的应用和内部业务流程应用很多采用的是Struts2框架开发，并且对于默认情况下开启的jakarta并没有关闭，导致了事件发生的48小时内很多对互联网发布的能源基础设施应用系统被入侵，造成了较大影响。

3. Weblogic WLS组件漏洞

2017年度，随着比特币、莱特币的火热，“挖矿”、“矿卡”等和虚拟货币相关的名词一度成为人们茶余饭后的热议。2017年12月5日，Twitter上有人提出了关于利用weblogic漏洞安装和执行watch-smartd或Carbon进行虚拟币挖矿的部分细节，随后在能源、烟草等多个行业发现Weblogic主机被攻击者植入恶意程序。

攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271)，在WebLogic服务器/tmp/目录下安装运行watch-smartd程序，极大消耗服务器CPU和内存资源；同时还存在watch-smartd的早期版本Carbon，该挖矿程序不存在维持进程和复活的功能，但在清除该程序后不定期又会出现，攻击者利用该漏洞反复下载并运行挖矿程序。

在2017年的事件处理过程中，经过资产筛查，我们发现能源行业系统多采用Weblogic中间件架构进行互联网应用的发布，在能源行业用户在进行自查的过程中，发现了CVE-2017-10271漏洞未更新补丁，同时在部分计量、营销等业务系统的Weblogic服务器上发现了存在watch-smartd挖矿程序，证实了能源行业被入侵的存在。

4. ClearEnergy（能源清除）

2017年，“工业4.0”无疑是当下最火热的概念之一。工业4.0有两个重要特征，第一是用可编逻辑控制器(PLC)控制所有生产环节，将生产线自动化，以便于收集和传递产生的各种信息；第二是用集成自动化系统软件(TIA)平台来管理企业，处理收集到的各种数据。

而今年在全球网络安全威胁向各个领域蔓延的同时，在对关键基础设施和SCADA/ICS的网络威胁中，一类针对工控系统的勒索软件正变的流行起来。

ClearEnergy和Scythe勒索软件，利用PLC漏洞CVE-2017-6032和漏洞CVE-2017-6034，攻击者能够完全控制控制器，读取控制器的程序并用恶意代码重写，甚至将恶意软件替换为合法固件，并安装可以破坏常规进程的固件。该漏洞影响了世界上最大的SCADA和工业控制系统制造商的大量PLC型号，包括施耐德电气、AB、通用电气（GE）等诸多厂商。

5. Petya变种

2017年5月份的WannaCry尚未平息，从6月27日开始，新一轮的新型勒索病毒Petya变种又开始肆虐。乌克兰、俄罗斯两国的政府机构、机场以及多家大型工业企业部分计算机系统遭受勒索病毒威胁，导致主机无法正常引导开机，严重影响了国家多个正常业务的运转；同时6月27日晚间，国内部分企业和生产单位也确认有发现感染同样的勒索病毒。

该病毒为去年出现的新型勒索Petya的变种，利用了永恒之蓝（MS17-010）漏洞，同时结合今年4月份曝出的Office 0day漏洞（CVE-2017-0199），通过恶意RTF文件进行钓鱼攻击；Windows主机感染该病毒后，整个硬盘的MBR将会被覆盖，并导致系统崩溃蓝屏，而当用户重启计算机时，修改后的MBR会阻止Windows正常加载，而显示攻击者的勒索信息，在支付赎金获得解密秘钥前，用户将无法正常启动主机，从而失去文件和计算机的访问权限。

在2017年的事件处理过程中，由于Petya的发生时间晚于WannaCry，而能源行业在WannaCry的应急响应中，已经将内网PC及重要应用系统SMB端口进行了管制同时批量更新了MS17-010补丁，所以在Petya的事件中，能源行业未遭受到实质影响。

6. Jackson框架Java反序列化远程代码执行漏洞

2017年再度出现的Java反序列化漏洞，继在2016年的反序列化风波发酵之后，再度来袭。北京时间4月15日，Jackson框架被发现存在一个反序列化代码执行漏洞（CNVD-2017-04483），该漏洞存在于Jackson框架下的enableDefaultTyping方法，通过该漏洞，攻击者可以远程在服务器主机上越权执行任意代码，从而取得该网站服务器的控制权。

由于Jackson是一个开源的Java序列化与反序列化工具，可以将java对象序列化为xml或json格式的字符串，或者反序列化回对应的对象，由于其使用简单，速度较快，且不依靠除JDK外的其他库，被众多用户所使用。由于该系统的广泛应用，本次Jackson框架Java反序列化漏洞也引起了诸多能源行业公司的广泛关注。

在2017年的事件处理过程中，我们发现能源行业诸多面向互联网的应用系统多采用java开发并且使用序列化的处理方式，所以在漏洞预警发布的24小时内，受到较大影响。同时能源行业在预警发布后针对Java反序列化漏洞也进行了批量排查，对于受影响系统通过版本升级的方式规避安全风险。

7. 摄像头产品非授权访问漏洞

2017年，随着“直播”行业的风起云涌，视频采集技术和视频传输技术得到了最广泛的挖掘和应用。在电力、烟草、生产制造等多个行业，视频监控技术伴随着机器自动化和分布式系统的应用，被广泛使用在信息收集、安全监管、身份认证等多个领域。

新技术的推广必然伴随着新型的安全漏洞的发生，而在2017年国内知名摄像头/DVR 生产厂商大华科技(Dahua Technology)旗下的部分产品被暴出固件补丁中存在非授权访问漏洞，通过此漏洞，攻击者可以在非管理员权限的情况下访问摄像头产品的用户数据库，提取出用户名及哈希密码，甚至可以利用用户名与哈希密码直接登录该摄像头从而获得该摄像头的相关权限。

根据绿盟威胁情报中心NTI关于大华摄像头产品非授权访问漏洞范围分布图统计显示，全球范围内存在此安全漏洞的设备数量达到了1,140,446台，其中，中国受影响的设备数量全球排名第四。

其中，中国国内受该漏洞影响的设备总数为108,205台，受影响省份中排名前三的分别为广东、福建和江苏。

在2017年的事件处理过程中，我们发现能源行业使用大华科技摄像头的场景较多，包括仓库、在线监测、变电站、LNG、巡检等，而在这些场景下，我们也通过漏洞扫描的方式发现了存在非授权访问漏洞的设备，不过好在在大部分场景下摄像头的网络访问局限在内部网络中，只有少部分的分布式系统通过运营商的4G网络传输，可以由互联网进行访问，这一部分是主要的安全风险来源。

8. IIS 6漏洞卷土重来

众所周知，从IIS 6.0 面世的第一天起，就存在大量的安全问题和漏洞，如早期的红色代码、远程代码执行漏洞、WebDAV写权限漏洞等等；而在2017年3月27日，最新发布的IIS 6.0 WebDAV远程代码执行的漏洞（CVE-2017-7269，CNNVD-201703-1151）又给IIS 6.0 的黑历史添上浓墨重彩的一笔。

该漏洞源于Microsoft Windows Server 2003 R2的IIS 6.0 中WebDAV 服务下ScStoragePathFromUrl函数，攻击者可以利用此漏洞通过一个以"If:

虽然IIS 6.0已经归属于历史产品，微软针对Windows Server 2003也停止更新，但是我们在能源行业发现，由应用系统迭代稳定性考虑，部分系统仍然采用Windows Server 2003搭载IIS 6.0 的方式实现，少量应用系统仍然在使用IIS 6.0及6.0版本以下的中间件，所以针对能源行业现状依然存在较大隐患。

9. Hadoop勒索攻击

2017年是勒索攻击行为的狂欢。在1月，至少34000多台MongoDB数据库被黑客组织入侵，数据库中的数据被黑客擦除并索要赎金；随后，在1月18日，又有数百台ElasticSearch服务器受到了勒索攻击，服务器中的数据被擦除。黑客将目标瞄准了Hadoop集群，这些勒索攻击的攻击模式都较为相似，在整个攻击过程中并没有使用任何勒索软件，也没有涉及常规漏洞，而是利用相关产品的不安全配置，使攻击者轻而易举地对相关数据进行操作。

黑客针对Hadoop的勒索攻击，是利用了暴露在公网上的端口进行探测，由于Hadoop集群的使用者往往出于便利或者本身安全意识不强的缘故，会将Hadoop的部分端口，比如HDFS的Web端口50070直接在公网上开放，攻击者就可以简单使用相关命令来操作机器上的数据。

在2017年的事件处理过程中，我们发现能源行业在建立自己的私有云或公有云环境中，在新上线的MongoDB中发现存在未授权访问漏洞，主要原因还是由于HDFS的Web端口开放导致。根据shodan的统计结果显示，在中国有8300多个Hadoop集群的50070端口暴露在公网上，这将给企业的数据化集群带来极大的安全威胁。

10. 无线路由器代码执行漏洞

2017年伴随着最强的WiFi加密WPA2宣布被破解，无线安全也被得到极大关注，尤其是能源、电力行业的分布式系统使用的无线探测和无线数据传输，无线域环境的安全风险往往被忽视。2017年6月，IoT安全公司Senrio 披露了存在于TP-LINK WR841N V8版本的路由器的2个安全漏洞，成功利用漏洞可以使得攻击者在该路由器上执行任意代码。

该型号的路由器的配置服务（configuration service）存在一个逻辑漏洞（CVE-2017-9466），攻击者可以绕过访问限制来重置路由器的验证信息、密码等参数，在利用该漏洞获得更高权限后，攻击者可以再次利用配置服务里存在的栈溢出漏洞来执行代码。这一系列的漏洞攻击行为可能会给诸多行业的分布式生产系统植入预留后门，或者带来传输敏感数据泄露、拒绝服务攻击导致可用性破坏等一系列风险问题。

在2017年度，我们发现在能源行业用户中，使用无线路由的场景包括仓库、远程监测、管道、分布式系统等多种场景，其中使用TP-LINK路由器的以办公网居多，也就是说对于能源行业TP-LINK无线路由器代码执行漏洞并没有对生产环境造成实际影响，但是对于办公网用户来说，仍然存在数据泄露、钓鱼等安全风险。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP