一家樓宇自動化工程公司經歷了一場噩夢般的場景：一次罕見的網路攻擊將公司鎖定在為辦公樓客戶建造的BAS之外之後，它失去了與數百個樓宇自動化系統（BAS）裝置（電燈開關，運動探測器，快門控制器等）的“聯絡”。

這是一家位於德國的公司，它發現辦公樓系統網路中四分之三的BAS裝置已被神秘地清除了其“智慧”，並用系統自己的數字安全金鑰鎖定，該金鑰現在處於駭客的控制之下。為了開啟建築物中的燈（照明系統），該公司不得不使用人工服務並關閉了中央斷路器。

BAS裝置控制和操作辦公樓中的照明和其他系統的功能，但是現在基本上被攻擊者磚砌成了磚塊，“一切都被刪除了。。。完全擦除，沒有額外的功能可用”。

由安全專家Peter Panholzer和Felix Eberstaller領導的Brandstetter團隊從受害者的裝置之一的記憶體中檢索了被劫持的BCU（匯流排耦合單元）金鑰。接著，工程公司對BAS裝置進行重新程式設計，並使建築物的照明，百葉窗，運動探測器和其他系統恢復了正常的執行。

Limes Security一直在收到有關在KNX上執行的BAS系統遭受類似型別攻擊的報告，KNX是一種在歐洲廣泛部署的樓宇自動化系統技術。就在上週，Limes Security與歐洲的另一家工程公司聯絡，該公司遭受了與德國公司非常相似的攻擊型別——在KNX BAS系統上，該公司的系統也被駭客鎖定在外。

“有趣的是。。。這裡的攻擊者濫用了一個本應是安全功能的東西——程式設計密碼［BCU金鑰］，它可以鎖定對手操縱的元件，”Panholzer說。

Panholzer說：“幸運的是，到目前為止，在我們參與的每起事件中，對於我們和（BAS）運營商來說，攻擊者都為受害者各自的BAS網路中的所有元件設定了相同的密碼。從理論上講，每個元件都可能有不同的密碼，這實際上會使恢復變得更加困難”。

KNX在其產品支援資訊中警告說，應該為工程工具軟體（ETS）謹慎部署BCU金鑰安全功能——請謹慎使用此選項，如果密碼丟失，這些裝置應退還給製造商。裝置中忘記的BCU金鑰無法在外部更改或重置，因為這會使ETS中的保護毫無意義（當然，製造商知道如何做到這一點）。

但實際上，這些裝置的大多數製造商都無法檢索被盜的BCU金鑰，Panholzer指出。這家德國工程公司最初向其BAS裝置供應商尋求幫助，但供應商說他們也無法訪問金鑰。

Limes Security拒絕透露出於保密原因在攻擊中受到打擊的受害者組織。

到目前為止，還沒有線索可以追溯到攻擊者。BAS系統沒有配置任何日誌記錄功能，因此攻擊者本身不會留下任何數字足跡。他們的攻擊沒有留下贖金記錄，也沒有勒索軟體的跡象，所以甚至不清楚攻擊的最終結果（目的）是什麼。

Panholzer說：“我的理論是，可能有一個或幾個攻擊者的來源，但因為缺乏日誌，我們不確定”。

與此同時，Limes Security的研究人員已經建立了一個蜜罐系統，想看看他們是否可以引誘攻擊者追捕他們的虛假BAS，以收集有關攻擊來源的情報。然而，到目前為止，還沒有人接受誘餌。

智慧建築系統是一個經常被遺忘的攻擊媒介，它跨越物理安全和網路安全領域。到目前為止，建築駭客攻擊很少見，值得注意的駭客攻擊新聞是：2016年對奧地利一家酒店的勒索軟體攻擊，擊中了房間鎖，以及2016年對芬蘭兩棟公寓樓供暖系統的分散式拒絕服務攻擊。

Limes Security的Brandstetter幾年來一直在研究BAS漏洞。2017年，他在美國黑帽公司（Black Hat USA）上發表了關於入侵BAS系統的研究。他演示了KNX和BACnet（另一種在美國廣泛使用的流行BAS技術標準）如何被攻擊者濫用的場景。

2018年，Forescout的Elisa Costante和她的團隊編寫了測試惡意軟體（包括蠕蟲），暴露了大約11，000個BAS裝置中的軟體漏洞，包括協議閘道器，以及用於HVAC系統和訪問控制的可程式設計邏輯控制器。他們在2019年的S4x19上展示了他們的研究成果。

德國工程公司的BAS系統最初是透過一個不安全的UDP埠滲透的，該埠暴露在公共網際網路上。

KNX中的BCU金鑰用於防止對裝置進行不必要的更改：要進行更改，您需要裝置的密碼。Limes團隊要求工程公司向他們運送一些BAS裝置，以便他們能夠弄清楚如何恢復金鑰。但他們總結說，暴力破解需要一年多的時間才能完成，因為裝置的身份驗證響應時間非常慢。

Panholzer解釋說：“BCU金鑰實際上只是一個4位元組的字串和八個字元。也許有人會認為4個位元組很容易被暴力破解，但這些裝置的響應時間非常慢。”

他們想出了一個計劃，試圖從尚未為其CPU設定保護的裝置上的CPU記憶體中讀取資料。為了縮小搜尋範圍，他們專注於記憶體中他們認為金鑰可能被儲存的區域，並暴力破解密碼。他們基本上對裝置儲存器的三個不同影象進行了程式設計，以便他們可以找到儲存地址的位置。

他解釋說：“然後，我們可以將可疑區域限制為一堆較小的位元組，並將其提供給暴力工具。”

下圖是Limes Security研究人員使用的工具，用於從被駭客入侵的BAS裝置中恢復被劫持的BCU金鑰。

四十五分鐘後，他們發現了BCU鑰匙。將其與他們手頭的所有四臺裝置（來自不同供應商）相匹配，發現它可以在所有裝置上工作。這家工程公司將BCU金鑰輸入到他們的程式設計軟體中，並在30分鐘內恢復了BAS系統並執行，結束了幾周的手動控制建築物中的照明工作和其他服務。

許多安裝和管理BAS系統（如KNX）的專業人員不在IT或安全團隊中。BAS系統通常是在工程師和建築管理公司的領域內使用。IT和安全團隊很少與BAS運營打交道，這可能會有問題。

結合上週聯絡Limes Security的歐洲建築管理公司。受害者認為，攻擊者是透過在建築物施工階段臨時安裝的IP閘道器進入的。Panholzer指出“IP閘道器應該在移交建築物後被移除，但它被遺忘了，從未停用過。”

總部位於布魯塞爾的 BAS 供應商 KNX 為部署其軟體和網路標準的組織提供特定的安全建議。這些措施包括使用VPN進行任何基於網際網路的系統連線，透過VLAN將其KNX IP骨幹網與其他IP網路分段，以及在KNX IP網路和其他網路之間放置防火牆。

Panholzer說，KNX在正確保護BAS系統方面發現了良好的規範和建議，他們還希望在材料中包含更多安全意識。

獨立風險研究員Stephen Cobb指出，找到暴露的BAS系統就像Shodan掃描一樣簡單。這可能是攻擊者將注意力集中在易受攻擊的建築系統上的方式。

雖然迄今為止BAS攻擊仍然相對罕見，但它們對網路犯罪分子來說可能是有利可圖的。以前在ESET工作的Cobb說：“這可能是未來非常嚴重的犯罪利用領域。它具有像勒索軟體一樣的所有成分，其中的不安全碎片可以被發現和利用。”

對BAS的勒索軟體和勒索攻擊可以用來針對設施管理公司，或者醫院。另外，還有更簡單的勒索方法值得我們注意——不安全的RDP和網路釣魚，這些正在產生足夠多的受害目標。

（本文出自SCA安全通訊聯盟，轉載請註明出處。）