開封市西門子中國（授權）一級代理商-西門子選型-西門子技術支持-西門子維修服務

西門子PLC廣泛運用在各行業的工業控制系統上，比如鋼鐵、石油、化工、電力、建材、機械制造、汽車、輕紡、交通運輸、環保及文化娛樂等行業，其安全性直接關乎國家民生安全。

2019 BlackHat USA會議上，安全研究員Sara Bitan指出西門子PLCZui新的通信協議S7Comm-Plus存在安全問題。為此，啟明星辰ADLab對相關漏洞進行研究，并在西門子S7-1500設備上復現了攻擊效果。

西門子PLC包括S7-200、S7-300、S7-400、S7-1200以及S7-1500等多個系列。S7-200/300/400系列PLC采用早期的西門子私有協議S7comm進行通信，S7-1200/1500系列PLC采用西門子S7Comm-Plus協議進行通信。

S7Comm-Plus協議在S7comm基礎上引入了密鑰保護機制，以對抗會話劫持、重放攻擊和中間人攻擊等。TIA與PLC交互過程可分為以下4個階段：

（1）TCP Connection

（2）COTP Connection

（3）S7Comm-Plus Connection，即四次握手密鑰認證階段

（4）S7Comm-Plus Function，功能碼執行階段。

圖1 S7Comm-Plus協議交互流程

密鑰認證成功后方可進入功能碼執行階段，圖2為四次握手認證具體流程。

圖2 四次握手認證

（1）TIA向PLC發送M1開啟一個新的會話。

（2）PLC將返回給TIA一個響應包M2，M2包含 PLC固件版本和隨機數ServerSessionChallenge，長度20個字節。

圖3 M2認證數據包

（3）TIA收到M2后，將向PLC發送M3，M3中包含SecurityKeyEncryptedKey(圖4中紅色框所示)。其中，Magic字段為0xfee1dead，長度180字節。SecurityKeyEncryptedKey里包含3個關鍵的加密字段(圖4中藍色框所示)。

圖4 M3認證數據包

（4）PLC收到M3后，進行密鑰認證。若認證成功，向TIA回復M4數據包。

四次握手認證完成后，TIA向PLC發送功能碼數據包，功能碼數據包中包含IntergrityPart字段，如圖5所示。PLC收到功能碼數據包后，首先校驗IntergrityPart字段，若校驗通過，執行相應功能碼。

圖5 stop功能碼數據包