黑科技:看我如何利用多個(gè)漏洞黑掉一臺(tái)機(jī)器人系統(tǒng)
在我們看來(lái)傳統(tǒng)的工業(yè)機(jī)器人是很無(wú)趣的。通常情況下,它們獨(dú)自或者在人類(lèi)的指導(dǎo)下在制造和生產(chǎn)環(huán)境中執(zhí)行重復(fù)性的,程序化的任務(wù)。它們經(jīng)常被用來(lái)執(zhí)行危險(xiǎn)或不適合人類(lèi)去干的任務(wù),因此,它們的工作環(huán)境往往與人類(lèi)或者其他有價(jià)值的機(jī)器隔離開(kāi)來(lái)。
但是最新一代的協(xié)同機(jī)器人(cobots)并非如此。在符合安全標(biāo)準(zhǔn)的同時(shí),他們與人類(lèi)或者其他機(jī)器在共同的環(huán)境中工作。這一代機(jī)器人與人類(lèi)攜手并進(jìn),協(xié)助人類(lèi)完成工作,而不僅僅是執(zhí)行自動(dòng)化的,危險(xiǎn)性的操作。Cobots可以學(xué)習(xí)移動(dòng),通過(guò)高清攝像機(jī)看,或通過(guò)麥克風(fēng)聽(tīng)到來(lái)完成工作。
因此,Cobots比傳統(tǒng)的工業(yè)機(jī)器人呈現(xiàn)出了更為有趣的攻擊研究。但是,Cobots只限于工業(yè)應(yīng)用?不,他們也可以被集成到其他裝置中!
去年二月,CesarCerrudo和我發(fā)表了一篇非技術(shù)論文HackingRobotsBeforeSkynet,在這篇論文中我們對(duì)來(lái)自多家知名廠商的幾款家用,商用以及工業(yè)機(jī)器人進(jìn)行了研究,在這些機(jī)器人中我們發(fā)現(xiàn)了近50個(gè)關(guān)鍵的安全漏洞。在Cobots這部分機(jī)器人部分,我們對(duì)包括來(lái)自RethinkRobotics的Baxter/Sawyer和Universal的UR機(jī)器人進(jìn)行了研究,這些都是工業(yè)機(jī)器人行業(yè)的領(lǐng)導(dǎo)者。
Baxter/Sawyer:針對(duì)這款機(jī)器人,我們發(fā)現(xiàn)其存在身份驗(yàn)證漏洞,庫(kù)卡機(jī)器人何服電機(jī)維修,采用不安全的協(xié)議傳輸和默認(rèn)的部署配置,易受到物理攻擊以及使用了一個(gè)存在多個(gè)安全漏洞的框架-ROS,該公司已經(jīng)在2017年2月修復(fù)了我們報(bào)告的主要問(wèn)題。
UR:我們?cè)谠S多控制協(xié)議中發(fā)現(xiàn)了身份驗(yàn)證問(wèn)題、易受到物理攻擊、內(nèi)存破壞漏洞以及不安全的通信傳輸?shù)劝踩┒础K羞@些問(wèn)題在最新版本(3.4.2.65,2017年5月)的系統(tǒng)中中仍未修補(bǔ)。
根據(jù)IOActive網(wǎng)絡(luò)安全公司漏洞披露的政策,我們已經(jīng)在去年1月份與供應(yīng)商取得了聯(lián)系,所以他們有足夠的時(shí)間來(lái)修復(fù)這些漏洞并通知客戶(hù)。我們的目標(biāo)是使cobots機(jī)器人更安全,防止攻擊者利用漏洞對(duì)企業(yè),員工和周?chē)h(huán)境造成嚴(yán)重傷害。我真的希望這篇文章可以推動(dòng)cobots機(jī)器人的安全性能夠向前發(fā)展,使得我們可以安全地使用現(xiàn)在的這些機(jī)器人以及后續(xù)更多代的機(jī)器人。
在這篇文章中,我將討論攻擊者如何通過(guò)cobot(例如UR3,UR5,UR10-UniversalRobots)機(jī)器人的多個(gè)漏洞來(lái)遠(yuǎn)程修改安全設(shè)置,違反適用的安全準(zhǔn)則,通過(guò)移動(dòng)機(jī)器人對(duì)其周?chē)墓ぷ魅藛T造成身體上的傷害。通過(guò)這個(gè)例子我們可以看到如果這些系統(tǒng)被黑客攻擊或者控制可能會(huì)給人類(lèi)造成多么嚴(yán)重的后果,操縱安全限制和禁用緊急按鈕可能直接威脅到人的生命。在這個(gè)例子中,我們利用了cobot機(jī)器人的六個(gè)漏洞來(lái)改變其安全限制,并通過(guò)遠(yuǎn)程網(wǎng)絡(luò)禁用安全面板和緊急按鈕/傳感器,演示視頻可以在下面這個(gè)url中看到:
問(wèn):這些機(jī)器人真的可以傷害一個(gè)人嗎?
答:是的,加拿大蒙特利爾(ETS)技術(shù)研究所的控制和機(jī)器人實(shí)驗(yàn)室的一項(xiàng)研究清楚地表明,即使是較小的UR5模型,其強(qiáng)大到足以嚴(yán)重傷害一個(gè)人。即使是在慢速移動(dòng)中,他們的力量也足以造成顱骨骨折
問(wèn):等等,他們有沒(méi)有安全功能,防止他們傷害附近的人類(lèi)?
A:是的,但是黑客可以遠(yuǎn)程入侵,我將在下一個(gè)技術(shù)部分告訴你黑客是如何入侵機(jī)器人系統(tǒng)的。
問(wèn):這些機(jī)器人部署在哪里?
A:世界各地,每天在多個(gè)生產(chǎn)環(huán)境中都有機(jī)器人在工作。
集成商定義所有安全裝置
UniversalRobots公司是UR機(jī)器人的制造商,但是在特定應(yīng)用中安裝UR機(jī)器人的公司是集成商,一個(gè)機(jī)器人只有集成和安裝之后才被認(rèn)為是一個(gè)完整的機(jī)器。UR機(jī)器人的集成商負(fù)責(zé)確保消除整個(gè)機(jī)器人系統(tǒng)的任何重大危險(xiǎn),這包括但不限于:
1.對(duì)整個(gè)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,在許多國(guó)家,這是法律規(guī)定的的必要流程。
2.如果風(fēng)險(xiǎn)評(píng)估認(rèn)為安全,則連接其他機(jī)器和其他安全裝置
3.在Polyscope軟件(控制面板)中設(shè)置相應(yīng)的安全設(shè)置,確保用戶(hù)不會(huì)使用安全密碼來(lái)修改任何安全措施。
4.驗(yàn)證整個(gè)系統(tǒng)的設(shè)計(jì)和安裝是否正確
UniversalRobots公司已經(jīng)意識(shí)到集成商必須考慮機(jī)器人存在的潛在的重大危害例如:
1.機(jī)器人工具或者工具連接器上的鋒利的刀邊或者刀尖有可能刺傷皮膚;
2.機(jī)器人軌道附近的障礙物上的鋒利刀邊或者刀尖有可能刺傷皮膚;
3.由機(jī)器人的碰撞引起的瘀傷;
4.由機(jī)器人沉重的機(jī)器零件或者材料表面之間的碰撞而產(chǎn)生的扭傷或骨折;
5.由于未經(jīng)授權(quán)更改安全配置參數(shù)而導(dǎo)致的錯(cuò)誤
一些安全相關(guān)功能是專(zhuān)為cobot應(yīng)用而設(shè)計(jì)的,這些功能包括:
1.力和功率限制:用于在機(jī)器人和操作員之間碰撞的情況下,減少機(jī)器人在運(yùn)動(dòng)方向上施加的夾緊力和壓力;
2.動(dòng)量限制:通過(guò)降低機(jī)器人的速度,用于在機(jī)器人和操作者之間碰撞的情況下減少高瞬態(tài)能量和沖擊力;
3.刀具定向限制:避免鋒利的刀邊指向操作者;
4.速度限制:用于確保機(jī)器人手臂低速運(yùn)行;
5.安全邊界:用于限制機(jī)器人的工作空間,強(qiáng)制其停留在定義的虛擬平面的正確一側(cè),而不能通過(guò)它們。
6.安全I(xiàn)/O:當(dāng)觸發(fā)此輸入安全功能(通過(guò)緊急按鈕,傳感器等)時(shí),向輸入端發(fā)送低信號(hào),并使安全系統(tǒng)轉(zhuǎn)換到減小模式。
安全設(shè)置可以有效防止許多潛在危險(xiǎn)事件。但是,如果惡意攻擊者繞過(guò)這些安全措施,操縱機(jī)器人來(lái)威脅人類(lèi)生命,那可能會(huì)發(fā)生些什么呢?
UR用戶(hù)指南的聲明
遠(yuǎn)程更改安全配置
安全配置只能根據(jù)集成商進(jìn)行的風(fēng)險(xiǎn)評(píng)估進(jìn)行更改。如果改變了安全參數(shù),機(jī)器人的整個(gè)系統(tǒng)應(yīng)當(dāng)被認(rèn)為是新的,機(jī)器人維修,這意味著包括風(fēng)險(xiǎn)評(píng)估在內(nèi)的整個(gè)安全審批流程應(yīng)該相應(yīng)的更新。
遠(yuǎn)程更改安全配置的過(guò)程如下所示:
步驟1.通過(guò)在URDashboardServer上利用身份驗(yàn)證漏洞來(lái)確認(rèn)遠(yuǎn)程機(jī)器人系統(tǒng)的版本信息;
步驟2.通過(guò)在URModbusTCP服務(wù)中利用基于堆棧的緩沖區(qū)溢出漏洞獲得對(duì)系統(tǒng)的控制權(quán)限,并以root身份執(zhí)行命令;
步驟3.修改security.conf文件,該文件將覆蓋所有的通用安全限制,接頭限制,邊界和安全I(xiàn)/O值限制;
步驟4.強(qiáng)制繞過(guò)計(jì)算校驗(yàn)和值,并上傳新文件。我們需要偽造這個(gè)校驗(yàn)和值,因?yàn)橥ǔ<缮毯芸赡茉谟布蠈?xiě)入當(dāng)前的校驗(yàn)和值;
步驟5.重新啟動(dòng)機(jī)器人,以便更新安全配置;
步驟6.通過(guò)利用UR控制服務(wù)上的認(rèn)證問(wèn)題,以任意危險(xiǎn)的方式操作機(jī)器人。
通過(guò)逆向分析ursys-CB3.1-3.3.4-310.img這個(gè)系統(tǒng)鏡像,我知道了機(jī)器人的入口點(diǎn)以及允許網(wǎng)絡(luò)上的其他機(jī)器與操作系統(tǒng)進(jìn)行交互的服務(wù)程序。對(duì)于此演示,我使用供應(yīng)商提供的URSim模擬器,該模擬器包含了機(jī)器人鏡像中大部分核心的二進(jìn)制文件。盡管這個(gè)示例使用模擬器可以更為清楚展示攻擊效果,但我還是修改了這個(gè)二進(jìn)制文件,修改后的文件部分代碼可以在Linux機(jī)器上正常運(yùn)行。URControl這個(gè)二進(jìn)制文件中導(dǎo)出了很多不同的網(wǎng)絡(luò)服務(wù),這些網(wǎng)絡(luò)服務(wù)的私有協(xié)議在實(shí)現(xiàn)上都沒(méi)有使用強(qiáng)大的認(rèn)證機(jī)制。例如,網(wǎng)絡(luò)上的任何用戶(hù)都可以向其中一個(gè)服務(wù)發(fā)出命令,并獲取正在運(yùn)行的進(jìn)程的遠(yuǎn)程操作系統(tǒng)的版本(步驟1):