2024工業(yè)機(jī)器人安全性測(cè)試

4工業(yè)機(jī)器人現(xiàn)狀

11工業(yè)機(jī)器人建筑學(xué)

15攻擊工業(yè)機(jī)器人三十五

機(jī)器人用戶可能面臨的威脅情景三十九邁向更加光明的未來四十四結(jié)論工業(yè)機(jī)器人運(yùn)行的協(xié)議和軟件中存在漏洞現(xiàn)已廣為人知，但迄今為止，尚無深入的實(shí)際研究來證明機(jī)器人實(shí)際上會(huì)在多大程度上受到攻擊。這項(xiàng)研究是米蘭理工大學(xué)(POLIMI)與趨勢(shì)科技前瞻性威脅研究(FTR)團(tuán)隊(duì)合作開展的，我們首次能夠分析系統(tǒng)特定攻擊的影響攻擊并在受控環(huán)境中演示對(duì)實(shí)際標(biāo)準(zhǔn)工業(yè)機(jī)器人的攻擊場(chǎng)景。在工業(yè)設(shè)備中，一個(gè)簡(jiǎn)單的軟件漏洞的影響就可能產(chǎn)生嚴(yán)重的后果。4.0FTRIP(ICS（）（4.0ITICS4.04.0ABBRobotics(IEEE52工業(yè)機(jī)器人現(xiàn)狀（2018130萬臺(tái)320億美元。3圖1.工作中的工業(yè)機(jī)器人（“KUKA5年|販

N工廠互聯(lián)網(wǎng)

防火墻

防火墻

機(jī)器人非軍事區(qū)內(nèi)部網(wǎng)絡(luò)

機(jī)器人網(wǎng)絡(luò)

控制器圖2.工業(yè)4.0生態(tài)系統(tǒng)的高級(jí)描述廣泛的攻擊面計(jì)算機(jī)監(jiān)控物理生產(chǎn)過程的日益一體化導(dǎo)致機(jī)器人4.0運(yùn)行狀況.4如今，工業(yè)機(jī)器人接入計(jì)算機(jī)網(wǎng)絡(luò)主要用于編程和維護(hù)目的，但我們已經(jīng)可以看到對(duì)更豐富和復(fù)雜的編程的重視TBtHTTP請(qǐng)求。易于使用的應(yīng)用程序編程接口(API)允許通過以下方式控制機(jī)器人6|8（；攻擊、ICS事件12)。易受攻擊的軟件庫（xTK依賴過時(shí)或有缺陷的加密庫；身份驗(yàn)證系統(tǒng)薄弱其他研究已經(jīng)發(fā)現(xiàn)這些設(shè)備存在大量漏洞，證實(shí)了長期以來的安全態(tài)勢(shì)不足。大約一年后，情況似乎在ICS領(lǐng)域并沒有發(fā)生太大變化。軟件定義安全（B的C的通用機(jī)器人；見圖3)。問題，攻擊者可能會(huì)擾亂操作并間接對(duì)人類操作員構(gòu)成安全威脅。|圖3.協(xié)作機(jī)器人與人類操作員密切合作，沒有任何物理安全措施關(guān)鍵領(lǐng)域的工業(yè)機(jī)器人如今，絕大多數(shù)行業(yè)都利用機(jī)器人。我們的市場(chǎng)搜索涵蓋10家主要的工業(yè)機(jī)器人供應(yīng)商。在他們的客戶中，我們發(fā)現(xiàn)了大型和中型企業(yè)在以下領(lǐng)域開展業(yè)務(wù)，其中大多數(shù)對(duì)每個(gè)國家都至關(guān)重要。車 ?業(yè)料 ?心

|攻擊者可以利用工業(yè)機(jī)器人在分發(fā)公共服務(wù)的關(guān)鍵部門的存在來擴(kuò)大其攻擊的影響，使這些設(shè)備成為有吸引力的攻擊媒介。工業(yè)路由器暴露在互聯(lián)網(wǎng)上ShodanZoomEyeCensys（（）排除假陽性。4RobustelInHandDigiUSB(VPN可以使用商用運(yùn)營商提供的接入點(diǎn)名稱(APN)的GPRS網(wǎng)絡(luò)(M2M(SIMAPN|(OEM支持合同。我們的市場(chǎng)搜索顯示，大約有十幾家供應(yīng)商專門從事工業(yè)建筑適用于各種應(yīng)用的路由器（見表1）。制造商

機(jī)器人ABB人 5FTP 9崎E器 4FTP 1川 9全部的

牌 露

不 知 的證 洞 洞百通95641歐洲技術(shù)公司160埃文6,2191,16010迪吉1,20021在手里883艾12,2222,300三十1網(wǎng)絡(luò)模塊8861351魯邦通4,4911塞拉無線50,3412204虛擬訪問2091韋洛泰克韋斯特摩6,0811,20072全部的83,6735,1055961CensysZoomEyeShodan20173FTP（注：我們通過查詢V獲得了“已知漏洞”的數(shù)量，而“新漏洞”的數(shù)量則基于我們自己的發(fā)現(xiàn)。）|Bs計(jì)算機(jī)和機(jī)器人系統(tǒng)的連接性不斷增強(qiáng)，機(jī)器人將不斷接觸網(wǎng)絡(luò)攻擊。事實(shí)上，工業(yè)機(jī)器人最初被認(rèn)為是孤立的已經(jīng)進(jìn)化，現(xiàn)在接觸企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。10,000

1,000

100

0

機(jī)器人圖5.工業(yè)路由器暴露體積圖以及暴露的機(jī)器人的存在|4軸輸入/輸出末端執(zhí)行器I/O（”）控制器狀態(tài)LED（

人 務(wù)絡(luò) 絡(luò)操作員“將軸1向左移動(dòng)30度”GPRS互聯(lián)網(wǎng)程序任務(wù)程序員圖6.標(biāo)準(zhǔn)工業(yè)機(jī)器人架構(gòu)的黑盒視圖在標(biāo)準(zhǔn)工業(yè)機(jī)器人架構(gòu)中，程序員和/或操作員通過網(wǎng)絡(luò)向控制器發(fā)出高級(jí)命令（例如，通過從人機(jī)交互界面加載程序，通過RESTAPI（HRI）輸出(I/O（）。機(jī)器人工業(yè)機(jī)器人是一種“自動(dòng)控制、可重新編程、多用途的操作器（）環(huán)境。|圖7.我們演示中使用的籠式機(jī)械臂控制器機(jī)器人控制器是一種復(fù)雜的設(shè)備，通常封裝在一個(gè)或多個(gè)機(jī)箱內(nèi)。它由以下部分組成：多個(gè)互連的子系統(tǒng)和計(jì)算機(jī)系統(tǒng)。機(jī)器人控制器的設(shè)計(jì)重點(diǎn)是關(guān)于效率、復(fù)雜運(yùn)動(dòng)描述、非線性控制以及與人類操作者的交互。示教器主計(jì)算機(jī)圖8.控制器和示教器|（）HRI官 識(shí) 定工 模 略任務(wù)級(jí)別全球的記憶

行動(dòng)層面

操作員界面原始層次舵機(jī)級(jí)別器 器圖9.機(jī)器人控制器控制系統(tǒng)架構(gòu)的抽象表示9（（）?？刂葡到y(tǒng)|人機(jī)界面（）（圖8B）機(jī)器人編程控制器接受通過特定領(lǐng)域的編程環(huán)境編寫的任務(wù)規(guī)范。（）（）。（（用鉗子夾?。Ｒ髚攻擊工業(yè)機(jī)器人攻擊者模型4.0（）（GPRS）控制其操作的專用計(jì)算機(jī)，以及操作員通過其子系統(tǒng)進(jìn)行交互（例如，操縱桿、開關(guān)或I/O和診斷端口）。我們特意設(shè)計(jì)此場(chǎng)景以便供應(yīng)商雖然代表了完整的部署，但卻是不可知的并且相當(dāng)簡(jiǎn)單。訪問權(quán)限在允許訪問數(shù)字攻擊面的可訪問硬件組件上。|絡(luò) 攻擊者

工廠1

N工廠互聯(lián)網(wǎng)

防火墻

防火墻

的 人攻擊者非軍事區(qū)絡(luò)

控制器圖10.網(wǎng)絡(luò)攻擊者與物理攻擊者網(wǎng)絡(luò)攻擊者該攻擊者只能通過網(wǎng)絡(luò)連接與機(jī)器人控制器進(jìn)行通信。(LAN（B來物理攻擊者（）（（HRI通過顯示器加載或編寫的自定義腳本手動(dòng)或自動(dòng)布防。|（）（等I/OO（s的DeviceNetB）。因此，該配置文件比網(wǎng)絡(luò)攻擊者更強(qiáng)大。技術(shù)能力（進(jìn)入設(shè)備（例Bee是o）漏洞。（B）機(jī)器人的控制器。（U和（如MultiMediaCard足夠了。|攻擊者的預(yù)算（（alibaba）。comABBIRB140S4CIRC524,999?35,500（GPRS針對(duì)機(jī)器人的攻擊（）|攻擊類別和描述

有缺陷或改性產(chǎn)品

要求違反機(jī)器人秘密地將缺陷引入工件。

有缺陷或改性產(chǎn)品

息態(tài)。 傷 全

傷 全表2.針對(duì)機(jī)器人的攻擊及其影響的總結(jié)我們分析了針對(duì)工業(yè)機(jī)器人的攻擊機(jī)會(huì)，以破壞準(zhǔn)確性、安全性和完整性（見圖9）此攻擊類型的完整視頻演示可在\h/vinfo/us/security/news/上找到。\h物聯(lián)網(wǎng)/工業(yè)機(jī)器人測(cè)試工業(yè)機(jī)器人安全。|3原始且未修改的代碼是由機(jī)器人執(zhí)行FTPFTPAPI

4微缺陷配置文件由機(jī)器人裝載在例行公事圖11.攻擊者篡改控制器參數(shù)來改變程序的執(zhí)行或程序員發(fā)出的(PID積分和比例速度(PIV)控制系統(tǒng)，用于每個(gè)關(guān)節(jié)軸的角度位置。（）（）開環(huán)控制參數(shù)篡改（）|機(jī)械臂和工件配置篡改（（（例如，將工件切成兩半，或者安裝另一個(gè)機(jī)械手）。（DTSǔ。安全限制篡改（制動(dòng)器（即最短激活時(shí)間）。盡管安全措施是機(jī)械啟動(dòng)的，（9）觸發(fā)伺服電機(jī)時(shí)。當(dāng)機(jī)器人不動(dòng)時(shí)，攻擊者可以操縱控制器上的校準(zhǔn)參數(shù)。（控制者知道。這會(huì)導(dǎo)致違反所有要求的具體后果。|如果在機(jī)器人移動(dòng)時(shí)發(fā)生這種惡意操縱，可能會(huì)產(chǎn)生兩種結(jié)果。如果控制器不監(jiān)督速度和位置，結(jié)果與前一種情況相同，并且不僅會(huì)影響關(guān)節(jié)的最終位置，而且會(huì)影響最大速度。DoS停止?fàn)顟B(tài)。3原始且未修改的代碼是由機(jī)器人執(zhí)行FTPFTPAPI

4微缺陷配置文件由機(jī)器人裝載在例行公事2遠(yuǎn)程或本地攻擊者篡改校準(zhǔn)參數(shù)圖12.攻擊者篡改校準(zhǔn)參數(shù)來改變程序員發(fā)出的程序或命令的執(zhí)行（|2攻擊者修改原始代碼或命令FTPAPI

4微缺陷1機(jī)器人程序員將代碼上傳到FTP

機(jī)器人在例程中加載的配置文件3沒有代碼完整性檢查圖13（開關(guān)（）（（LED）正常情況在離開1操作員安全遭到攻擊在離開1攻擊者操縱狀態(tài)信息2操作員面臨風(fēng)險(xiǎn)圖14.攻擊者篡改用戶感知的機(jī)器人狀態(tài)，使操作員面臨風(fēng)險(xiǎn)|因此，單純的用戶界面(UI)修改攻擊的影響是巨大的。更改UI可能會(huì)隱藏或者改變機(jī)器人的真實(shí)狀態(tài)，欺騙操作員做出錯(cuò)誤的風(fēng)險(xiǎn)評(píng)估，從而造成巨大的安全隱患。攻擊者可以做的不僅僅是改變機(jī)器人的感知狀態(tài)。在某些情況下，攻擊者可以注意到。正常情況在在離開1操作員安全遭到攻擊在離開1攻擊者操縱態(tài) 險(xiǎn)圖15.攻擊者篡改機(jī)器人的實(shí)際狀態(tài)，使操作員面臨風(fēng)險(xiǎn)發(fā)動(dòng)機(jī)狀態(tài)對(duì)附近的人類而言。事實(shí)上，協(xié)作機(jī)器人并不在安全籠內(nèi)操作。|**6.x系列5.x系列ABB6.x系列。25|軟件定義或無線觸發(fā)的安全功能(e?stop（（U的無線示教器）。)MitM（）。）操作員。案例研究：演示實(shí)際攻擊ABB的六軸IRB1406IRC5RobotWare5.13.10371*（VxWorksWindows?CEFlexPendant（）IRB140關(guān)在籠子里，依靠默認(rèn)的標(biāo)準(zhǔn)安全措施。RobotWare（即在FlexPendantRobotStudio軟件套件，可以從供應(yīng)商的網(wǎng)站免費(fèi)下載。FlexPendantIEEE20入口點(diǎn)：工業(yè)路由器和遠(yuǎn)程訪問ShodanWebNB（“Server:bMoxaao（（“Moxa“Westermo“BasicHTTP）WebWeb?當(dāng)界面也啟用基于控制臺(tái)的功能時(shí)，它提供了一個(gè)容易“指紋識(shí)別”的攻擊面利用路由器中的漏洞或錯(cuò)誤配置并獲取對(duì)工業(yè)機(jī)器人（以及與其連接的其他工業(yè)設(shè)備的訪問權(quán)）。（見表1）ABB的ServiceBox設(shè)備（）（（11.2s2圖16.ABB（eWON）APN|我們不會(huì)深入探討太多細(xì)節(jié)，而是用以下分類法總結(jié)了我們發(fā)現(xiàn)的問題。b暴露的情況。o（幾乎所有頂級(jí)供應(yīng)商的網(wǎng)站上都可以找到這些材料（包括固件映像）。oo網(wǎng)絡(luò)服務(wù)橫幅包括詳細(xì)信息，例如供應(yīng)商名稱、媒體訪問（MACUU這些設(shè)備上運(yùn)行的程序已經(jīng)過時(shí)，有時(shí)是基于不受支持的版本，盡管最近構(gòu)建的固件映像。在最好的情況下，雖然這不一定是一個(gè)好的做法，但供應(yīng)商會(huì)應(yīng)用（向后兼容性。最糟糕的情況是，過時(shí)的庫被“按原樣”使用。o（x主站點(diǎn)不再可用）o編譯器（例如GCC3.3）o內(nèi)核（例如Linux2.4）o加密庫o |o OpenVPN密鑰（OWASPo如上所述，過時(shí)的加密庫或密碼也屬于此類別。o錯(cuò)誤配置的加密軟件是指，例如，使用共享對(duì)稱密鑰進(jìn)行VPN。這不是一個(gè)好的做法，因?yàn)樗辉试S使用明顯的訪問審計(jì)萬一丟失，就會(huì)出現(xiàn)撤銷問題。oWebHTTPS（OWASPoWebGETo未維護(hù)的開源代碼“按原樣”使用。同一供應(yīng)商包含了很大一部分PHPPHP中實(shí)現(xiàn)REST（）。（Web服務(wù)器（）Binwalk設(shè)置。（披露了我們的調(diào)查結(jié)果。|機(jī)器人部件中的其他漏洞權(quán) 道USB端口

N直接訪問內(nèi)部設(shè)備（例如軸計(jì)算機(jī)）LAN端口偏僻的

N（N的 （如施表3.按渠道劃分的攻擊面我們能夠識(shí)別出工業(yè)機(jī)器人在設(shè)計(jì)連接(FTPFTPRobAPI最廣泛的網(wǎng)絡(luò)攻擊面，具有多個(gè)命令和輸入。此外，主要計(jì)算機(jī)公開了FlexPendant使用的基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的發(fā)現(xiàn)服務(wù)，并且RobotStudioFlexPendantUDP（ABBVUDMRO?124642）FTP控制機(jī)器人的動(dòng)作。|DMRO?124644)))（）)硬編碼憑證。用戶的密碼。（ABBVUDMRO?124645DMRO?128238）RobAPI請(qǐng)求DHROOT處理程序。另一方面，柔性吊墜也存在漏洞：設(shè)計(jì)文件格式。e如果他能修改文件，使其文件名長度超過512字節(jié)，則溢出。t)系統(tǒng)和RobAPI功能。UAS我們實(shí)施了以下利用序列：FTP/命令驅(qū)動(dòng)程序?；蛘?，我們可以利用RobAPI中發(fā)現(xiàn)的內(nèi)存錯(cuò)誤來獲得初步訪問權(quán)。|SPd的l（RobAPIPTRAPID/commandshellrebootFTP.NET惡意RAPID文件。1使用靜態(tài)憑證FTPPUT/命令/命令.cmd（DHROOTI（

FTPAPIFTPPUT//.cmd“shell

AUTH現(xiàn)已禁用3FTPPUT惡意.dll

FP/MC將加載惡意下次啟動(dòng)時(shí)使用庫FTPPUT//.cmd“shell

FP/MC將重啟malice.dllhome（C＆C功能）

圖17.通過遠(yuǎn)程可訪問的FTP服務(wù)器進(jìn)行多步驟攻擊以獲取對(duì)機(jī)器人控制器的控制權(quán)FlexPendantRobAPI不受限制地控制執(zhí)行的代碼。另一種可能性是獲得對(duì)FTPRobotWare31|工業(yè)機(jī)器人：測(cè)試工業(yè)機(jī)器人的安全極限0.4530.4530.452普通的0.4510.4500.4490.448?0.25 ?0.20 0（ado機(jī)器人手持的ApplePencil。（b圖1832|命令與控制雖然不是必需的，但我們利用FTP共享文件系統(tǒng)作為一個(gè)簡(jiǎn)單的命令和控制（tRAPID充當(dāng)機(jī)器人和遠(yuǎn)程攻擊者之間的中繼。因此，我們認(rèn)為，此時(shí)，有些攻擊可能會(huì)造成非常昂貴的影響，可能高達(dá)整個(gè)部署的成本，或違反安全政策和法規(guī)。當(dāng)由于這個(gè)原因無法進(jìn)行攻擊時(shí)，我們討論了我們的與領(lǐng)域?qū)＜乙黄饘?shí)施，確認(rèn)了其可行性和潛在的破壞性影響。準(zhǔn)確性違規(guī)（攻擊1）我們分析的機(jī)器人使用閉環(huán)控制器來控制關(guān)節(jié)位置。對(duì)于每個(gè)關(guān)節(jié)，一個(gè)PID控制器確保其角位置盡可能接近所需的參考軌跡完成任務(wù)。如攻擊1中所述，如果攻擊者可以“失諧”控制器，他可以減少動(dòng)作精度降低，最終損害加工精度。（執(zhí)行的操作看起來是一樣的。在攻擊過程中，站在機(jī)器人旁邊的操作員不會(huì)注意到1請(qǐng)?jiān)L問：https://\h/vinfo/us/security/news/internet?of?things/rogue?robots?testing?\h列于第29?30頁和圖17中。PIDIRB140RS232通過利用遠(yuǎn)程代碼執(zhí)行漏洞，我們修改了控制環(huán)路配置文件，PID18（2）機(jī)器人正在進(jìn)行的加工，足以破壞工件。安全違規(guī)（攻擊4）我們使用用戶感知的機(jī)器人狀態(tài)改變方法來欺騙操作員，從而實(shí)施了這次攻擊flexUIFTP（shell19UI。|圖19.修改后的FlexPendant屏幕顯示機(jī)器人處于“電機(jī)關(guān)閉”狀態(tài)（”）（它不會(huì)響應(yīng)通過HRI操縱桿發(fā)出的手動(dòng)命令完整性違反（攻擊2）有可能通過控制回路改變和校準(zhǔn)參數(shù)來破壞機(jī)器人的完整性由于這些文件通過“加密”進(jìn)行了弱混淆，我們利用此漏洞并此時(shí)，我們不再啟動(dòng)機(jī)器人，而是向領(lǐng)域?qū)＜艺故拘薷暮蟮呐渲梦募▅機(jī)器人用戶可能面臨的威脅情景從遠(yuǎn)程端點(diǎn)發(fā)動(dòng)復(fù)雜攻擊，而不受成本的限制。在利用工業(yè)機(jī)器人的特定情況下，任何人都可能有興趣；即使是內(nèi)部威脅威脅場(chǎng)景1：生產(chǎn)成果變更或破壞通過利用機(jī)器人控制，我們能夠?qū)⒐收虾臀⑷毕葑⑷牍ぜ缦聢D所示在圖20的右側(cè)。該攻擊的完整視頻演示可在\hhttps://www.trendmicro上找到。\hcom/vinfo/us/security/news/internet?of?things/rogue?robots?testing?industrial?robot?security。雖然需要徹底破壞生產(chǎn)線的每個(gè)步驟才能達(dá)到這些缺陷檢查，并且根據(jù)貨物本身的性質(zhì)，可能會(huì)發(fā)生傷亡。|圖D（）y2（）20（），威脅場(chǎng)景2：勒索軟件攻擊被篡改的產(chǎn)品做作的。|威脅場(chǎng)景3：物理傷害HRI（見圖21）圖.II（（I威脅場(chǎng)景4：生產(chǎn)線工藝ǔ擾（）|威脅場(chǎng)景5：敏感數(shù)據(jù)泄露（）獲取此類數(shù)據(jù)對(duì)于市場(chǎng)或競(jìng)爭(zhēng)對(duì)手而言都具有極高的價(jià)值。|邁向更加光明的未來雖然我們認(rèn)為發(fā)現(xiàn)并隨后解決漏洞非常重要，更安全的機(jī)器人生態(tài)系統(tǒng)不僅僅在于提高嵌入式軟件的質(zhì)量在機(jī)器人上運(yùn)行，也不會(huì)有更多的披露和更快的修補(bǔ)，