Hoe u Cnspec kunt gebruiken om verouderde firmware en verkeerde configuraties op PLCnext Control te detecteren

Laten we als voorbeeld de PLCnext Control AXC F 2125 van Phonix Contact nemen, die gebaseerd is op de ARM Cortex-A9-processor en een IEC 61131 runtime-systeem heeft. Cnspec is een open source tool die verschillende opties biedt voor het scannen van de op Linux gebaseerde PLCnext Control om oude firmware en verkeerde configuraties te detecteren. Deze handleiding biedt stapsgewijze instructies voor het scannen van een PLCnext Control via de cnspec SSH-provider.

Installeer cnspec op uw notebook (installatiehandleiding)
Test de verbinding en maak een cnspec-shell met de PLCnext Control door het volgende commando uit te voeren:
```
cnspec shell ssh admin@192.168.1.10 --ask-pass
```
Voer de volgende MQL-opdracht uit binnen de cnspec-shell:
```
file("/etc/plcnext/arpversion").content
```

Zoals we kunnen zien, konden we via SSH verbinding maken met de PLCnext Control en konden we het eerste MQL-commando uitvoeren.

→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 ___ _ __ ___ _ __ ___ ___ 
 / __| '_ \/ __| '_ \ / _ \/ __|
| (__| | | \__ \ |_) | __/ (__ 
 \___|_| |_|___/ .__/ \___|\___|
 mondoo™ |_| 
cnspec&gt; file("/etc/plcnext/arpversion").content
file.content: "Arpversion: 23.0.0.65
GIT Commit Hash: d755854b5b21ecb8dca26b0a560e6842a0c638d7
Build Job: \"jenkins-PLCnext-Yocto_Targets-Yocto_AXCF2152-release%2F23.0.x-65\"
"

Download het PLCnext Technology-beleid uit de openbare cnspec-policies-repository om een basisveiligheidscontrole uit te voeren door de volgende opdracht uit te voeren:

git clone https://github.com/mondoohq/cnspec-policies
Cloning into 'cnspec-policies'...
remote: Enumerating objects: 1075, done.
remote: Counting objects: 100% (149/149), done.
remote: Compressing objects: 100% (84/84), done.
remote: Total 1075 (delta 75), reused 115 (delta 61), pack-reused 926
Receiving objects: 100% (1075/1075), 699.81 KiB | 402.00 KiB/s, done.
Resolving deltas: 100% (690/690), done.

Voer het volgende commando uit om via SSH een volledige veiligheidsscan op de PLCnext Control uit te voeren:

cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass

De volledige uitvoer zou er als volgt uit moeten zien:

cnspec scan ssh admin@192.168.1.10 -f cnspec-policies/community/mondoo-phoenix-plcnext-security.mql.yaml --ask-pass
→ loaded configuration from /home/user/.config/mondoo/mondoo.yml using source default
Enter password: 
→ using service account credentials
→ discover related assets for 1 asset(s)
→ resolved assets resolved-assets=1
 axcf2152 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 100% score: F
Asset: axcf2152
---------------
Controls:
✕ Fail: Ensure SSH MaxAuthTries is set to 4 or less
✓ Pass: Ensure secure permissions on SSH public host key files are set
✓ Pass: Ensure only strong MAC algorithms are used
✓ Pass: Ensure only strong ciphers are used
✓ Pass: Ensure SSH IgnoreRhosts is enabled
✓ Pass: Ensure SSH Idle Timeout Interval is configured
✕ Fail: Ensure SSH password authentication is disabled
✓ Pass: Ensure current system time is synchronized
✓ Pass: Ensure only strong Key Exchange algorithms are used
✓ Pass: Ensure SSH LoginGraceTime is set to one minute or less
✓ Pass: Ensure SSH Protocol is set to 2
✓ Pass: Ensure SSH root login is disabled or set to prohibit-password
✓ Pass: Ensure SSH LogLevel is appropriate
✓ Pass: Ensure SSH PermitUserEnvironment is disabled
✓ Pass: Ensure SSH HostbasedAuthentication is disabled
✓ Pass: Ensure SSH access is limited
✓ Pass: Ensure secure permissions on SSH private host key files are set
✓ Pass: Ensure SSH warning banner is configured
✕ Fail: Ensure Firewall is active
✓ Pass: Ensure SSH PermitEmptyPasswords is disabled
✓ Pass: Ensure SSH X11 forwarding is disabled
✓ Pass: Ensure latest PLCnext Firmware is installed
Scanned 1 assets
For detailed output, run this scan with "-o full".

De open-source cnspec-beveiligingsoplossing biedt een alomvattende aanpak voor het identificeren van kwetsbaarheden en verkeerde configuraties in zowel IT- als OT-systemen. Door uw systemen regelmatig te scannen, kunt u potentiële beveiligingsproblemen proactief identificeren en oplossen voordat ze een probleem worden.

Opmerking:

Op de Makers Blog worden toepassingen en gebruikersverhalen van communityleden getoond die niet door Phoenix Contact zijn getest of beoordeeld. Gebruik ze op eigen risico.

Naadloos opladen van EV's op zonne-energie met evcc.io op CHARX Control SEC3xxx OPC UA Client configureren op PLCnext Control:stap-voor-stap handleiding

Industriële technologie

Productieproces

3d printen

Automatisering Besturingssysteem

Industriële technologie