在工业自动化领域，制造信息规范（MMS）协议被广泛应用于数据通信，尤其是在电力系统、制造业和交通系统中。然而，最近的研究揭示了MMS协议中存在的多个安全漏洞，这些漏洞一旦被黑客利用，可能会对工业环境造成严重影响。Claroty的研究人员Mashav Sapir和Vera Mens指出，这些漏洞可能允许攻击者使工业设备崩溃，甚至在某些情况下实现远程代码执行。

MMS协议是一种用于工业自动化系统中数据通信的标准协议，它定义了一种客户/服务器模型，允许生产设备与上层管理系统进行通信。作为一种更高级别的通信协议，它提供了更丰富的服务和接口。MMS协议采用面向对象的建模方法，定义了虚拟制造设备（VMD），用于表示实际设备，并通过服务接口进行通信，支持多种数据类型，包括数字、浮点数、字符、时间等。

目前，MMS协议在IEC 61850标准中被用作变电站自动化系统中设备间通信的基础，其重要性不言而喻。然而，Claroty公司最近发现了影响MZ Automation的libIEC61850库和Triangle MicroWorks的TMW IEC 61850库的安全漏洞，这些漏洞在2022年9月和10月报告后已经被修复。具体漏洞信息如下：

• CVE-2022-2970（CVSS评分：10.0）：libIEC61850中的基于栈的缓冲区溢出漏洞，可能导致崩溃或远程代码执行。
• CVE-2022-2971（CVSS评分：8.6）：libIEC61850中的类型混淆漏洞，可能允许攻击者使用恶意负载使服务器崩溃。
• CVE-2022-2972（CVSS评分：10.0）：libIEC61850中的基于栈的缓冲区溢出漏洞，可能导致崩溃或远程代码执行。
• CVE-2022-2973（CVSS评分：8.6）：空指针解引用漏洞，可能允许攻击者使服务器崩溃。
• CVE-2022-38138（CVSS评分：7.5）：未初始化指针的访问漏洞，允许攻击者造成拒绝服务（DoS）条件。

此外，Claroty公司的报告还发现，西门子的SIPROTEC 5 IED依赖于SISCO的MMS-EASE栈的过时版本来支持MMS，该版本容易受到特制数据包的DoS攻击影响（CVE-2015-6574，CVSS评分：7.5）。但根据CISA发布的报告，西门子早在2022年12月就更新了其固件，并使用了更新版本的协议栈。

Claroty公司认为，造成上述问题的核心原因是，快速发展技术所需的安全需求与底层过时的、不安全的协议之间的矛盾，这些协议目前存在各种安全风险，且难以马上替换。该公司呼吁供应商们应遵循CISA发布的安全指南，及时更新系统版本。

几周前，Nozomi Networks详细说明了ESP-NOW无线协议中存在的两个漏洞（CVE-2024-42483和CVE-2024-42484），这两个漏洞可能或造成重放攻击和DoS攻击。Claroty公司进一步表示，"根据被攻击的系统，这个漏洞[CVE-2024-42483]可能会有深远的后果。由于ESP-NOW用于安全系统，其中包括建筑报警，允许它们与运动传感器通信，在这种情况下，攻击者可以利用这个漏洞重放以前截获的合法'OFF'命令，从而随意禁用运动传感器。"

如果ESP-NOW在远程门开启器中的使用，例如自动门和车库门，那么攻击者可以截获合法的"OPEN"命令并实施重放攻击，从而轻松实现以未经授权的方式进入建筑物。

这些发现凸显了工业控制系统中存在的严重安全风险，尤其是在依赖过时协议的情况下。随着工业4.0和物联网（IoT）的快速发展，确保工业设备和系统的安全性变得尤为重要。供应商和组织必须采取积极措施，更新和修补系统中的漏洞，以防止潜在的攻击和数据泄露。

此外，随着人工智能（AI）和机器学习（ML）技术在网络安全领域的应用，未来的安全解决方案可能会更加智能和自动化，能够实时检测和响应威胁。然而，这也带来了新的挑战，如AI模型的对抗性攻击和数据隐私问题。因此，网络安全专家需要不断更新知识和技能，以应对不断变化的威胁环境。

总之，工业MMS协议中的安全漏洞提醒我们，即使在高度专业化和复杂的工业环境中，安全问题也不容忽视。通过持续的监控、及时的更新和严格的安全实践，我们可以更好地保护关键基础设施免受网络攻击的威胁。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课