当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021314

漏洞标题:从某知名厂商MIS软件逻辑缺陷谈对某工控网络的渗透 第二份案例

相关厂商:国家安全生产监督管理总局

漏洞作者: Z-0ne

提交时间:2013-04-06 21:12

修复时间:2013-05-21 21:13

公开时间:2013-05-21 21:13

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-06: 细节已通知厂商并且等待厂商处理中
2013-04-08: 厂商已经确认,细节仅向厂商公开
2013-04-18: 细节向核心白帽子及相关领域专家公开
2013-04-28: 细节向普通白帽子公开
2013-05-08: 细节向实习白帽子公开
2013-05-21: 细节向公众公开

简要描述:

本文可以作为对上文的一个补充,继续来探讨深入渗透后是否能对实体生产环境产生影响,以上2篇文章非SHOW,其旨在提醒软件厂商提高软件安全度的同时,提醒生产厂商对工业网络安全的重视,其中存在的技术问题,欢迎拍砖:-)
以下敏感信息均已打码,相关系统信息将会私信给cncert。

详细说明:

接上文,我们谈到了SyncPlant中存在的越权问题,由于是单个案例不方便确认他的通用性,但根据所属公司业绩来看在多个现场工程案例中均使用了SyncPlant,特此献上第二份案例用来进行佐证,以便cncert来进行确认

漏洞证明:

1,远程WEB登录

0.jpg


2,问题如上篇文章所提到的,在对该系统进行测试时同样存在越权

1.jpg


2.jpg


3.jpg


3,到此我们可以继续深入,就以当前测试环境而言,系统开启了远程桌面,netstat确认安装了SQL server,web.config拿到了sa密码,接下来使用SQL扩展xp_cmdshell成功运行了系统命令,并通过转发,成功登录测试服务器

4.jpg


4,上一篇中我们提到了Syncbase通过协议驱动采集下端的DCS等控制设备的数据为前端的WEB提供实时数据,该环境同样如此

5.jpg


5,从该图我们可以看出DCS操作员站通过Moudbus TCP协议将数据转出与Syncbase实时通讯,并与测试服务器为同一网段。通过该图我们可以看出DCS下面二个AI DI数据块,其分别为DCS定义的模拟量输入(一般表示温度、压力、转速、电流等连续变化的量)与开关量输入(一般反馈各种仪表的开,关),此外一般还有AO(模拟量的控制信号,如连续可调的执行器开度控制),DO(控制器发出的开关控制信号),如图在此也为他们定义了相关的数据位置

6.jpg


7.jpg


8.jpg


6,同理我们同样可以Client方式连接,此处我们使用{#3锅炉给水流量}进行测试,这里成功获取到了数据,此处数据显示不同是由于web刷新时间导致。

9.jpg


10.jpg


7,根据当前测试环境我们可以大概判断位于192.168.0.17的DCS通过组态王等组态软件对下面的现场总线实时监
,数据采集、报警控制等等,并使用类似第一篇中的SYNCMB通过标准的Modbus协议将数据进行转发提供给SIS等程序,与第一案例不同的是,目标网络可能没有网闸等工控网络安全隔离设备,这样一来生产环境的网络是比较危险的,站在攻击者的立场上想如果攻击者对DCS等系统进行渗透或者对数据进行下置操作,都有可能直接或者间接的威胁生产的网络安全,故到此没有继续深入。

11.jpg


12.jpg


修复方案:

联系软件厂商寻求技术支持
不在公网开放内部系统

版权声明:转载请注明来源 Z-0ne@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-04-08 08:57

厂商回复:

根据白帽子提供的测试入口,CNVD在与wooyun-2013-021250相同的两个实例上复现所述情况(考虑到风险,未对在线系统内部网络进行测试)。同时根据生产厂商软件应用特征,找到另外两个实例,但在两个实例上未发现所述漏洞风险,因此通用性上暂未能进一步确认。
如果白帽子有第三个案例,也可以继续提供。
转由CNCERT通过正式函件向国家上级信息安全主管机构报送。两个案例均涉及在线生产系统,每个rank 20

最新状态:

暂无