受影响组织所使用的防火墙已知漏洞导致设备短暂通信中断

美国国家能源技术实验室去年春天发布的一份季度报告显示，一次网络事件导致美国西部一家未具名公用事业公司“电力系统中断”。 据悉，这起事件发生在今年3月5日，影响了加州、犹他州和怀俄明州，但并未造成电力供应中断。

为能源和环境专业人士提供新闻的 E&E News 当时了解到，这次中断涉及利用已知漏洞的 DoS 攻击，但没有提供任何其他细节。

近日，北美电力可靠性公司（NERC）（负责保护美国电力的非营利性国际监管机构，其使命是确保有效且高效地降低电网可靠性和安全风险）在网站上发布电网调节器。 经验教训 ( ) 文件指出，该事件涉及受影响组织使用的防火墙 Web 界面中的漏洞。

根据 NERC 文档，未经身份验证的攻击者利用防火墙中的已知漏洞触发 DoS 条件，导致设备不断重新启动。 目前尚不清楚哪家供应商提供了防火墙，但它们显然是面向互联网的外围设备，“充当安全的外层”。

受影响的公用事业公司的名称尚未公布，但 NERC 表示，DoS 攻击袭击了一个低影响的控制中心和多个远程低影响的发电站点，导致控制中心与站点以及站点的现场设备之间发生通信。 短暂的通讯中断。

据悉，信号中断持续时间不超过五分钟，但防火墙持续重启了10多个小时。 虽然这件事的影响有限，但足以引起各方的关注。 该案例清楚地说明了美国电力公司面临的风险，因为其关键控制网络变得更加数字化、互联化，并且更容易受到黑客的攻击。 NERC 在其报告中警告称，应尽量减少面向互联网的设备。

”

在进行初步内部调查后，受影响的公用事业公司决定要求其防火墙制造商检查日志，以确定正在进行的防火墙重新启动的性质和潜在原因。 随后的分析表明，不断的重新启动是由利用已知防火墙漏洞的外部实体发起的。 收到此通知后，公用事业公司根据其网络安全事件响应计划启动了事件报告程序。

据称，受影响的公用事业公司在事件发生后对其部署固件更新的流程进行了审查，NERC 希望其他能源公司能够从该事件中吸取教训，并采取措施防止类似情况再次发生。 。

众所周知，非盈利组织NERC近期因网络安全问题向能源公司处以数千万美元的罚款。 2019 年 2 月，杜克能源公司因违反旨在保护国家电力系统免受物理和网络攻击的规则而面临联邦监管机构 1000 万美元的罚款。

杜克大学总部位于北卡罗来纳州夏洛特美国电力，是一家超大型公用事业公司，在七个州经营天然气和电力设施，并拥有核电站和天然气输送管道。 调查人员称，该公司违反了127条安全规定，对东方互联网系统“安全可靠构成严重威胁”。

文件称，在 NERC 发现的违规行为中，杜克能源未能保护其最关键的网络资产和敏感信息，并在四年多的时间里允许未经适当授权的员工访问某些计算机。 杜克能源还允许承包商、员工和前员工在未经适当授权的情况下进入变电站和计算机服务器机房等敏感地点，有时长达数月； 此外，在一个披露的案例中，一名技术人员与另外两人共享了自己的用户名和密码，因此他们可以在长达三年的时间内访问该公司的一些电子系统，但当技术人员更改密码时，他们就会失去访问权限； 该公用事业公司为其部分网络的防火墙配置不当，“至少在一个实例中，该公司未能“监控恶意通信”；该公司允许远程计算机访问其一些敏感系统，而无需所谓的多步骤多步骤的方法要求用户跳过一系列动态验证方法，以证明访问者具有适当的权限；同时还发现系统上的某些信息没有经过适当的加密。

不过，尚不清楚受此 DoS 攻击影响的组织是否会面临相同的处罚。