超過8800個工業物聯網雲中心暴露於公網-DTU資料中心態勢感知報告
一、關鍵詞定義
DTU:資料終端單元(Data Transfer unit)。
DSC:資料服務中心(Data Service Center),即DTU中心站,DTU通過無線GPRS/CDMA網路將資料上傳至中心站監聽的某個埠。
DDP:DTU和資料服務中心(DSC)之間的通訊協議。
二、應用場景
在工業現場中,存在許多現場是有線無法到達的場景,DTU無線資料終端基於GPRS/CDMA資料通訊網路,可專門用於將串列埠資料轉換為IP資料或將IP資料轉換為串列埠資料,並通過無線通訊網路進行傳輸,目前廣泛應用在電力、環保監測、車載、水利、金融、路燈監控、熱力管網、煤礦、油田等行業。
三、DTU資料中心指紋特徵分析
DTU與DSC中心站通訊可使用TCP/UDP方式,DTU會根據配置主動連線DSC中心站IP和開放的資料服務埠進行資料上傳。
通訊埠
根據廠家和應用的不同,DSC開放的資料上傳埠也不盡相同,我們根據廠商官方提供的一些解決方案和文件,蒐集了一些知名廠商的預設埠,具體如下:
| 廠商 | 預設埠 |
| 巨集電DTU | 5002 |
| 深證漢科泰 | 5003 |
| 廈門才茂通訊科技 | 5001 |
| 濟南有人物聯網 | 5007 |
| 聚英電子 | 5004 |
| 拓普瑞GPRS DTU | 5000 |
| TLINK | 5006 |
| 廈門銳谷通訊 | 8002 |
| 藍斯通訊 | 10000 |
| 鑫芯物聯 | 2009 |
| 四信科技 | 5020 |
| 山東力創 | 3030 |
協議介紹
DDP協議(DTU DSC Protocol)是DTU與DSC之間的通訊協議,DDP是一種廠商定義的私有公開性質的通訊協議,用於資料的傳輸和DTU管理,對於DDP協議廠商一般會提供協議文件和SDK開發包,使用者可以通過組態軟體或開發包,將資料中心整合到自己的平臺軟體中,國內的組態王、三維力控、崑崙通態、紫金橋等著名組態軟體公司也均可以對接DTU實現資料採集。
以DTU市場佔有量較高的巨集電公司的DTU為例,巨集電DDP協議官方提供了通訊協議文件和資料中心SDK樣例可供使用者進行二次開發和整合。
巨集電DDP協議資料幀格式
| 起始標誌 | 包型別 | 包長度 | DTU 身份識別 | 資料 | 結束標誌 |
| (1B) | (1B) | (2B) | (11B) | (0~1024B) | (1B) |
| 0x7B | 0x7B |
巨集電DDP協議DTU請求功能型別
| 包型別 | 包型別描述 | 傳輸型別 |
| 0x01 | 終端請求註冊 | GPRS |
| 0x02 | 終端請求登出 | GPRS |
| 0x03 | 查詢某一DTU IP 地址 | GPRS |
| 0x04 | 無效命令或協議包(一般在查詢或設定指令時使用) | GPRS |
| 0x05 | DSC接收到使用者資料的應答包 | GPRS |
| 0x09 | DSC傳送給 的使用者資料包 | GPRS |
| 0x0B | DTU查詢引數的應答包 | GPRS |
| 0x0D | DTU設定引數的應答包 | GPRS/SMS |
| 0x0E | DTU提取日誌的應答包 | GPRS |
| 0x0F | 遠端升級的迴應包 | GPRS/SMS |
指紋構造
通過構造符合DDP協議的DTU“註冊”請求傳送到DSC中心站,可以作為識別中心站的一種手段,如果目標應用的埠執行有中心站服務將會返回符合DDP協議標準的資料包。
四、安全隱患分析
DTU與DSC中心站之間通訊使用的DDP協議構造簡單,通訊時一般使用DTU中插入的SIM卡的11位手機號碼作為“身份識別”的手段,DTU主動連結DSC中心站開放的TCP/UDP埠上傳資料,並且以明文方式傳輸,從目前DTU無線資料遠傳的通訊模型上來看,最易受攻擊的攻擊面主要在DSC中心站上。
根據我們的本地分析與測試,暴露在網際網路的DTU中心站易受到如下攻擊:
終端偽造風險
根據DTU與DSC中心站的通訊協議,攻擊者可以構造任意手機號碼(11個位元組的DTU身份識別標識)的“註冊”請求,如果使用者的應用邏輯上沒有判斷該手機號碼是否可信,該裝置將可以被註冊到DSC中心站。
資料偽造風險
攻擊者可以構造任意手機號碼(11個位元組的DTU身份識別標識)的“註冊”請求,並在同一時間或一段時間內傳送大量“註冊”登入請求到DSC中心站,對於未做身份標識驗證和判斷的DSC中心站應用將會消耗大量系統資源,甚至導致中心站的採集應用崩潰,所有DTU裝置無法連結至DSC中心站,使資料採集中斷。
終端列舉風險
DTU與DSC中心站之間使用11位手機號碼作為“身份識別”,攻擊者如果知道DTU終端的11位手機號碼,即可以偽造對應的終端進行資料上傳或將終端請求登出,如果確定了該應用場景或準確的地市區,針對終端號碼的列舉或爆破將會縮小到較小的嘗試範圍。
五、DTU資料中心聯網分佈
鑑於DSC中心站各家應用開放埠不一致的情況,我們實驗室對國內3億IP超過160個常用於釋出DDP服務的埠進行了識別掃描,其中發現執行有DDP協議服務的主機超過了8800個,具體分佈如下:
| 廣東 | 1998 |
| 香港 | 1052 |
| 浙江 | 710 |
| 上海 | 676 |
| 北京 | 631 |
| 廣西 | 556 |
| 江蘇 | 500 |
| 山東 | 427 |
| 福建 | 251 |
| 河北 | 212 |
| 天津 | 208 |
| 四川 | 171 |
| 湖北 | 164 |
| 遼寧 | 144 |
| 安徽 | 125 |
| 河南 | 119 |
| 雲南 | 99 |
| 新疆 | 88 |
| 中國 | 84 |
| 甘肅 | 81 |
| 湖南 | 80 |
| 陝西 | 73 |
| 黑龍江 | 71 |
| 吉林 | 66 |
| 江西 | 58 |
| 山西 | 57 |
| 重慶 | 48 |
| 內蒙古 | 41 |
| 貴州 | 41 |
| 青海 | 22 |
| 西藏 | 17 |
| 海南 | 17 |
| 寧夏 | 9 |
| 總計 | 8896 |
釋出DDP服務最多的前30個埠:
| 排行 | 埠 | 暴露數量 |
| 1 | 5060 | 1302 |
| 2 | 9999 | 1248 |
| 3 | 5002 | 802 |
| 4 | 60000 | 575 |
| 5 | 55555 | 547 |
| 6 | 50123 | 537 |
| 7 | 51960 | 418 |
| 8 | 65000 | 392 |
| 9 | 61697 | 385 |
| 10 | 2000 | 296 |
| 11 | 3000 | 234 |
| 12 | 8000 | 204 |
| 13 | 6000 | 108 |
| 14 | 1025 | 92 |
| 15 | 5001 | 88 |
| 16 | 6004 | 87 |
| 17 | 33333 | 81 |
| 18 | 10001 | 76 |
| 19 | 5000 | 75 |
| 20 | 60001 | 69 |
| 21 | 5007 | 67 |
| 22 | 5003 | 61 |
| 23 | 5005 | 61 |
| 24 | 8001 | 60 |
| 25 | 4000 | 56 |
| 26 | 6002 | 45 |
| 27 | 7001 | 41 |
| 28 | 7000 | 40 |
| 29 | 5004 | 39 |
| 30 | 8888 | 32 |
六、聯網企業與應用分析
根據對掃描到的資料,我們實驗室通過IP開放服務、IP位置,分析驗證了執行公網的DSC中心站所屬的企業和單位,具體行業分佈如下,我們目前已經準確驗證了超過300家公司和單位的DDP服務暴露情況。
七、解決方案與應對策略
在本次針對DSC資料中心站的安全分析的過程中,像終端使用GPRS/CDMA直接經過網際網路與中心站的固定/動態IP進行通訊,這種快捷、廉價的組網應用廣泛,目前雖然沒有出現專門針對此類系統公開的攻擊事件,但根據我們的判斷,對於DDP協議這種ICS協議暴露將縮短攻擊者發現重要工業控制系統入口的時間,隨著DDP服務的開放易導致該IP目標成為針對性的被攻擊物件,我們建議使用此類組網的使用者,尤其應該做好邊界入口的安全防護、應用服務(Web、Telnet、SSH)的安全加固、主機安全配置。
燈塔實驗室依據工信部《工業控制系統資訊保安防護指南》以及相關國家標準,給出如下具體應對建議:
身份認證
我們建議在網際網路開放DDP服務的使用者,應檢查除DDP服務以外,如Telnet、SSH、Web服務等服務配置的安全性,避免使用預設口令或弱口令,合理分類設定賬戶許可權,以最小特權原則分配賬戶許可權,對於關鍵系統和平臺的訪問採用多因素認證。
遠端訪問安全
我們推薦有條件的使用者在中心與終端之間使用電信運營商提供的APN專網進行組網,DTU的SIM卡開通專用APN接入,使用APN專線後所有終端及資料中心分配的IP地址均為電信運營商的內網IP地址,通過APN專網終端與資料中心的資料通訊無需通過公網進行傳輸,專網實現了端到端加密,避免了中心在網際網路開放網路埠。
原文來自:燈塔實驗室(http://plcscan.org/blog)