西门子PLC S7-1500漏洞分析与复现

宣布时间 2020-04-23

研究配景

西门子PLC广泛运用在各行业的工业控制系统上，好比钢铁、石油、化工、电力、建材、机械制造、汽车、轻纺、交通运输、环保及文化娱乐等行业，其宁静性直接关乎国家民生宁静。

2019 BlackHat USA会议上，宁静研究员Sara Bitan指出西门子PLC最新的通信协议S7Comm-Plus存在宁静问题。为此，东森平台ADLab对相关漏洞进行研究，并在西门子S7-1500设备上复现了攻击效果。

西门子PLC协议

西门子PLC包罗S7-200、S7-300、S7-400、S7-1200以及S7-1500等多个系列。S7-200/300/400系列PLC接纳早期的西门子私有协议S7comm进行通信，S7-1200/1500系列PLC接纳西门子S7Comm-Plus协议进行通信。

S7Comm-Plus协议在S7comm基础上引入了密钥�；せ�，以反抗会话劫持、重放攻击和中间人攻击等。TIA与PLC交互过程可分为以下4个阶段：

（1）TCP Connection。

（2）COTP Connection。

（3）S7Comm-Plus Connection，即四次握手密钥认证阶段。

（4）S7Comm-Plus Function，功效码执行阶段。

东森·(中国区)官方网站

图1 S7Comm-Plus协议交互流程

密钥认证乐成后方可进入功效码执行阶段，图2为四次握手认证具体流程。

东森·(中国区)官方网站

图2 四次握手认证

（1）TIA向PLC发送M1开启一个新的会话。

（2）PLC将返回给TIA一个响应包M2，M2包罗 PLC固件版本和随机数ServerSessionChallenge，长度20个字节。

东森·(中国区)官方网站

图3 M2认证数据包

（3）TIA收到M2后，将向PLC发送M3，M3中包罗SecurityKeyEncryptedKey(图4中红色框所示)。其中，Magic字段为0xfee1dead，长度180字节。SecurityKeyEncryptedKey里包罗3个要害的加密字段(图4中蓝色框所示)。

东森·(中国区)官方网站

图4 M3认证数据包

（4）PLC收到M3后，进行密钥认证。若认证乐成，向TIA回复M4数据包。

四次握手认证完成后，TIA向PLC发送功效码数据包，功效码数据包中包罗IntergrityPart字段，如图5所示。PLC收到功效码数据包后，首先校验IntergrityPart字段，若校验通过，执行相应功效码。

东森·(中国区)官方网站

图5 stop功效码数据包

算法分析

虽然主机TIA与PLC之间的认证引入了非对称加密算法，但是PLC与主机之间并没有进行绑定，因此仍然存在宁静问题，攻击者可以伪造成一个恶意的主机/事情站，利用已知的公钥及加密算法，对PLC进行非法控制或者中间人攻击。

下面介绍密钥生成算法流程。

东森·(中国区)官方网站

图6 密钥生成算法

主机(TIA)随机生成20字节的PreKey，使用类椭圆曲线加密算法和公钥加密PreKey，作为Keying materaial 1(对应图7中M3数据包的EG1、EG2)。

主机(TIA)凭据PreKey计算KDF，并由今生成CEK(Checksum Encryption Key)，CS(Checksum Seed)，KEK(Key Encryption Key)。

主机(TIA)将Challenge和KDK相结合，使用AES-CTR加密算法和KEK进行加密，其结果作为Keying material 3(对应M3数据包中的EncryptedChallenge和EncryptedKDK)。

主机(TIA)用CS和Keying material 3进行哈希运算(Tabulation Hash),得到结果TB-HASH。

主机(TIA)使用AES-ECB算法和CEK来加密TB-HASH并得到结果Keying material 2(对应M3数据包中的EncryptedChecksum)。

东森·(中国区)官方网站

图7 M3数据包结构

漏洞复现

我们对OMSp_core_managed.dll进行逆向分析，通过调用要害接口函数，结构四次握手加密认证数据包。攻击端首先发送认证数据包，密钥认证完成后发送stop功效码，乐成使得西门子PLC S7-1500停止运行。

正常运行时，PLC S7-1500运行指示灯为绿色。运行状态如图８所示。

东森·(中国区)官方网站

图８攻击前PLC正常运行

发送攻击脚本后，PLC S7-1500运行指示灯变为黄色，PLC停止运行，PLC状态如图９所示。

东森·(中国区)官方网站

图９攻击后PLC停止运行

宁静建议

西门子官方已宣布宁静补�。�

https://cert-portal.siemens.com/productcert/pdf/ssa-232418.pdf

https://cert-portal.siemens.com/productcert/pdf/ssa-273799.pdf

小结

在本次研究中，我们分析了西门子S7系列最新的通信协议S7Comm-Plus。虽然主机与PLC之间的通信协议接纳了强大的加密算法，但是PLC并没有对TIA进行认证，使得攻击者可以伪装成一个恶意的TIA，在其通信过程中插入任意指令，如PLC的启停指令，即可到达远程控制PLC的效果。除此之外，相同型号/固件版本的PLC，其私钥完全相同，这意味着同样的攻击要领适用于所有相同的PLC。

参考链接：

[1]https://i.blackhat.com/USA-19/Thursday/us-19-Bitan-Rogue7-Rogue-Engineering-Station-Attacks-On-S7-Simatic-PLCs.pdf

[2]https://i.blackhat.com/USA-19/Thursday/us-19-Bitan-Rogue7-Rogue-Engineering-Station-Attacks-On-S7-Simatic-PLCs-wp.pdf

[3]https://www.secshi.com/30290.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

西门子PLC S7-1500漏洞分析与复现

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线