找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2823|回复: 0
打印 上一主题 下一主题

从某知名厂商MIS软件逻辑缺陷谈对某工控网络的渗透 第二份案例

[复制链接]
跳转到指定楼层
楼主
发表于 2022-3-31 03:58:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

简要描述:

本文可以作为对上文的一个补充,继续来探讨深入渗透后是否能对实体生产环境产生影响,以上2篇文章非SHOW,其旨在提醒软件厂商提高软件安全度的同时,提醒生产厂商对工业网络安全的重视,其中存在的技术问题,欢迎拍砖:-)
以下敏感信息均已打码,相关系统信息将会私信给cncert。

详细说明:

接上文,我们谈到了SyncPlant中存在的越权问题,由于是单个案例不方便确认他的通用性,但根据所属公司业绩来看在多个现场工程案例中均使用了SyncPlant,特此献上第二份案例用来进行佐证,以便cncert来进行确认

漏洞证明:

1,远程WEB登录

0.jpg


2,问题如上篇文章所提到的,在对该系统进行测试时同样存在越权

1.jpg


2.jpg


3.jpg


3,到此我们可以继续深入,就以当前测试环境而言,系统开启了远程桌面,netstat确认安装了SQL server,web.config拿到了sa密码,接下来使用SQL扩展xp_cmdshell成功运行了系统命令,并通过转发,成功登录测试服务器

4.jpg


4,上一篇中我们提到了Syncbase通过协议驱动采集下端的DCS等控制设备的数据为前端的WEB提供实时数据,该环境同样如此

5.jpg


5,从该图我们可以看出DCS操作员站通过Moudbus TCP协议将数据转出与Syncbase实时通讯,并与测试服务器为同一网段。通过该图我们可以看出DCS下面二个AI DI数据块,其分别为DCS定义的模拟量输入(一般表示温度、压力、转速、电流等连续变化的量)与开关量输入(一般反馈各种仪表的开,关),此外一般还有AO(模拟量的控制信号,如连续可调的执行器开度控制),DO(控制器发出的开关控制信号),如图在此也为他们定义了相关的数据位置

6.jpg


7.jpg


8.jpg


6,同理我们同样可以Client方式连接,此处我们使用{#3锅炉给水流量}进行测试,这里成功获取到了数据,此处数据显示不同是由于web刷新时间导致。

9.jpg


10.jpg


7,根据当前测试环境我们可以大概判断位于192.168.0.17的DCS通过组态王等组态软件对下面的现场总线实时监
,数据采集、报警控制等等,并使用类似第一篇中的SYNCMB通过标准的Modbus协议将数据进行转发提供给SIS等程序,与第一案例不同的是,目标网络可能没有网闸等工控网络安全隔离设备,这样一来生产环境的网络是比较危险的,站在攻击者的立场上想如果攻击者对DCS等系统进行渗透或者对数据进行下置操作,都有可能直接或者间接的威胁生产的网络安全,故到此没有继续深入。

11.jpg


12.jpg

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表