Tổ chức Shadowserver trong tuần này đã thông báo rằng họ đã bắt đầu tiến hành quét internet hàng ngày trong nỗ lực xác định các hệ thống kiểm soát công nghiệp (ICS) bị lộ và giúp các tổ chức giảm nguy cơ bị tấn công.
Tổ chức an ninh mạng phi lợi nhuận đang quét web để tìm các dịch vụ bị lộ sử dụng giao thức truyền thông công nghiệp Modbus trên cổng TCP 502, nhưng Piotr Kijewski của Shadowserver nói với SecurityWeek rằng họ có kế hoạch giới thiệu nhiều bản quét giao thức ICS và công nghệ hoạt động (OT) khác trong tương lai gần.
Shadowserver đã làm việc với các cơ quan an ninh mạng quốc gia, cơ quan thực thi pháp luật, các công ty tư nhân và các nhà nghiên cứu bảo mật trên toàn thế giới để cung cấp thông tin miễn phí mà những người bảo vệ có thể sử dụng để giảm thiểu các lỗ hổng, phát hiện các hoạt động độc hại và chống lại các mối đe dọa. Tổ chức này tự mô tả mình là “nhà cung cấp nguồn cấp dữ liệu thông tin tình báo về mối đe dọa mạng miễn phí, lợi ích công cộng lớn nhất thế giới”.
Sản phẩm quét ICS hàng ngày đầu tiên do Shadowserver thực hiện đã tiết lộ hơn 6,300 địa chỉ IP duy nhất tương ứng với các dịch vụ Modbus bị lộ. Phần lớn liên quan đến các sản phẩm của Siemens, tiếp theo là ABB, AB Regin, Schneider Electric's Telemecanique, Solare Datensysteme, Invensys, Delta Electronics, Huawei, Rockwell Automation (Allen Bradley), Alpes Technologies, SE-Elektronic, COPA-DATA, WEG, và Đồng bộ.
Hơn 900 trong số các hệ thống bị lộ là ở Hoa Kỳ, tiếp theo là Tây Ban Nha, Thụy Điển, Pháp, Thổ Nhĩ Kỳ và Ý.
“Nhiệm vụ của chúng tôi là làm cho Internet an toàn hơn bằng cách đưa ra các lỗ hổng nhẹ, hoạt động độc hại và các mối đe dọa mới xuất hiện,” Kijewski giải thích. “Một trong những cách chúng tôi thực hiện việc này là thông báo cho chủ sở hữu / quản trị viên của các IP này hoặc các CSIRT Quốc gia có trách nhiệm về bất kỳ dịch vụ bị lộ không cần thiết nào mà chúng tôi phát hiện để họ có thể phản hồi bằng cách chặn quyền truy cập vào chúng. Đây là trường hợp quét Modbus. ”
Tìm hiểu thêm về sự tiếp xúc của các hệ thống công nghiệp tại Hội nghị An ninh mạng ICS của SecurityWeek
Shadowserver đã quét Internet để tìm nhiều loại giao thức trong gần một thập kỷ, thêm các giao thức mới mỗi năm.
Trong trường hợp của Quét Modbus, tổ chức đã chỉ ra trên trang web của mình, "Không chắc rằng các loại thiết bị này cần phải có thể truy cập dưới bất kỳ hình thức nào đối với các truy vấn từ Internet, vì vậy trừ khi bạn đang chạy honeypot, bạn nên hành động ngay lập tức và chặn quyền truy cập."
Kijewski cho biết dữ liệu thu thập được chủ yếu để ứng phó với sự cố, nhưng tổ chức cũng đang theo dõi dữ liệu để tìm ra các xu hướng.
Chuyên gia thừa nhận rằng những người khác đang tiến hành quét tương tự, nhưng lưu ý rằng các báo cáo của Shadowserver được cung cấp miễn phí cho các quản trị viên và chủ sở hữu mạng.
“Chúng tôi cũng quét hàng ngày, điều này không phải lúc nào cũng xảy ra đối với các dịch vụ khác,” Kijewski giải thích. “Ngoài ra, các nguồn quét khác nhau có thể cho kết quả hơi khác nhau, tùy thuộc vào cách chúng quét và từ đâu, vì vậy, bạn nên sử dụng nhiều nguồn thông tin như vậy bất kể.”
Liên quan: Các lỗ hổng trong OpENer Stack khiến các thiết bị công nghiệp bị tấn công
Liên quan: InHand Router Flaws có thể khiến nhiều công ty công nghiệp bị tấn công từ xa
Eduard Kovacs (@EduardKovacs) là một biên tập viên đóng góp tại SecurityWeek. Anh từng là giáo viên CNTT trung học trong hai năm trước khi bắt đầu sự nghiệp báo chí với tư cách là phóng viên tin tức an ninh của Softpedia. Eduard có bằng cử nhân tin học công nghiệp và bằng thạc sĩ về kỹ thuật máy tính ứng dụng trong kỹ thuật điện.
tags:
