1、双子座实验室2023-102023工业控制系统安全报告2023 工业控制系统安全报告P3 概述P4 工控安全相关漏洞数据统计P6 工业互联网安全重点事件P9 针对工控相关行业的黑客组织P10 针对工控设备的恶意软件P12 常见攻击手法总结P13 总结P14 附录contents目录3概述01近年来，随着信息技术的高速发展，工业控制系统（以下简称“工控系统”）逐渐与信息技术结合起来，向着开放互联、智能化的方向发展。工控系统在能源、钢铁、化工、装备工业、消费品工业、电子信息、国防军工、交通、水利、民用核设施等行业广泛应用。由于这些行业涉及社会运转的各类基础设施，如果相关行业遭受攻击，可能造成严重的

2、影响。本篇报告通过对 2023 年的工控安全漏洞数据进行统计，聚焦 2023 年工业互联网安全重点事件，追踪针对工控设备的组织及恶意软件，总结出了 2023 年截止目前工业互联网安全以及工控安全的特点：工控安全漏洞数量有所增加，高危漏洞占比增大，漏洞类型主要为输入验证不当；随着全球政治局势的变化，黑客组织的攻击活动逐渐瞄准国家重点行业的工业控制系统；工业互联网安全事件频发，安全事件大多受到政治因素影响，造成的危害大，影响比较严重；完全针对工业控制系统的恶意软件数量虽然不多，但被成功利用后往往造成极大危害。42023 工业控制系统安全报告据天际友盟统计，截止 2023 年 10 月，本年新增 3

3、67 个工控安全漏洞，相比 2022 年同期增长了 97 个漏洞。其中高危漏洞 211 个，中危漏洞 155 个，低危漏洞 1 个。由于工控设备常与能源、基础设施重点行业有关，当相关行业的工控设备存在安全漏洞并且被攻击者利用时，攻击所造成的危害往往较为严重。中危漏洞低危漏洞高危漏洞图 1 工控安全漏洞数量统计图 2 主要漏洞类型数量根据漏洞的 CWE 类型的统计，上述漏洞主要 CWE 分类如下图，其中前三类主要漏洞类型为输入验证不当、跨站脚本、越界写入。工控安全相关漏洞数据统计0218操作系统命令注入缺少关键功能的身份验证越界读取命令注入 越界写入跨站脚本 输入验证不当5漏洞数量最多的前五个厂

4、商分别为思科、西门子、施耐德、罗克韦尔、台达电子，统计图如下：图 3 漏洞厂商分布图 4 思科产品漏洞分布漏洞涉及的思科的前五名产品名称分别为 Cisco IOS XE、思科身份服务引擎、InfraSuite Device Master、ArmorStart ST、思科小型企业系列交换机，统计数据如下图：根据上述统计数据可以看出，思科由于其产品众多，影响力大，应用范围广，且存在的已知漏洞较多，因此更容易成为攻击者重点关注的目标，其产品存在的漏洞数量远超其他厂商的漏洞数量。台达电子 23罗克韦尔 37西门子 60ArmorStart ST思科小型企业系列交换机思科 174Cisco IOS XE

5、思科身份服务引擎InfraSuite Device Master62023 工业控制系统安全报告工业互联网安全重点事件033.1 GhostSec 黑客组织对白俄罗斯的工业远程终端单元进行攻击3.2 多个品牌汽车中存在安全漏洞可进行远程控制与跟踪2023 年的工控安全事件主要因政治因素和经济动机而起，攻击者大多具有政府背景，遭受攻击的行业也常与关键基础设施有关，攻击目的多以窃取数据、中断运营为主。攻击手段主要为漏洞利用、木马后门、勒索攻击等多种方式。我们列举了 2023 年全球受到重点关注的工控攻击事件，涉及运输、能源、农业、汽车等多个行业。从这些事件不难看出，全球公开的工控攻击事件并没有详细

6、披露攻击细节，侧面证明了工控相关行业攻击的复杂性和重要性。2023 年 1 月，GhostSec 黑客组织声称对白俄罗斯的工业远程终端单元(RTU)进行了攻击，RTU 是一种用于远程监控工业自动化设备的操作技术(OT)设备。GhostSec 是 Anonymous 旗下的一个黑客主义行动组织，主要从事出于政治动机的黑客攻击，此前也曾攻击过可编程逻辑控制器和其他 OT 设备。在这次袭击中，该组织显然将注意力转向了俄罗斯入侵乌克兰。从其 Telegram 小组提供的屏幕截图可以看出，攻击者加密了设备 TELEOFIS RTU968 v2上的文件，并且将加密文件后缀修改为.fuckPutin。TEL