OSIsoft PI System中的一种存储的跨站点脚本（XSS）漏洞（一种经常出现在关键基础设施中的产品）可以被利用来进行网络钓鱼，特权升级和其他目的。

OSIsoft PI System是一个数据管理平台，可提供工厂监控和分析功能。根据供应商的网站，PI System已在全球超过19,000个站点中部署，涉及电力，石油和天然气，制造和采矿等各个行业。

工业网络安全公司OTORIO的研究人员发现，PI System的PI Web API 2019组件受到存储的XSS漏洞的影响，该漏洞使目标系统具有有限特权的攻击者可以进行各种类型的活动。

美国网络安全和基础设施安全局（CISA）曾发表咨询了这个缺陷，这是跟踪为CVE-2020-12021和影响版本1.12.0.6346和之前。OSIsoft已发布了安全漏洞补丁，并建议客户采取措施以最大程度地降低遭受攻击的风险。

OTORIO事件响应团队负责人Dor Yardeni告诉《安全周刊》，为了利用此漏洞，外部攻击者需要以某种方式获得对PI Server（为PI System供电的数据存储和分发引擎）的访问权限。一旦他们可以访问PI Server，攻击者就可以利用存储的XSS漏洞将任意java script代码注入PI Server中的易受攻击的字段中。或者，攻击者可能试图说服内部人员注入代码。

一旦注入了恶意代码，攻击者就需要等待特权提升的用户使用易受攻击的PI Web API并将其光标移到受感染的字段上，从而导致该代码在受害者的浏览器中执行。攻击者可以注入代码，该代码在执行时会显示一个仿冒页面，旨在窃取受害者的凭据。

根据Yardeni的说法，黑客随后可以将这些凭据用于各种各样的活动，包括篡改来自工厂的数据，并让工程师或操作员相信一切都在正常运行，而实际上却并非如此（例如，锅炉的实际温度）。可能是100°C，而应用程序只会显示50°C）。攻击者还可以删除历史工厂数据，或使用受损的凭证来破解目标用户可以访问的其他工厂资源。

还可以利用此漏洞来注入旨在用于页面按键记录，窃取Cookie，将用户重定向到其他网站，更改受感染页面上的数据以及窃取浏览信息（例如内部IP，浏览器版本等）的代码。

“如果攻击者具有较高的凭据，则无需利用此漏洞。他们仅凭高级别的凭证即可进入生产车间。” Yardeni解释说。“但是，如果攻击者仅获得具有'写入'权限的薄弱凭据，他/她将能够利用此漏洞获取更高的凭据，然后访问整个生产环境。”

OTORIO发布了一个视频，显示攻击者如何利用此漏洞进行网络钓鱼：