简要描述:
本文可以作为对上文的一个补充,继续来探讨深入渗透后是否能对实体生产环境产生影响,以上2篇文章非SHOW,其旨在提醒软件厂商提高软件安全度的同时,提醒生产厂商对工业网络安全的重视,其中存在的技术问题,欢迎拍砖:-)
以下敏感信息均已打码,相关系统信息将会私信给cncert。
详细说明:
接上文,我们谈到了SyncPlant中存在的越权问题,由于是单个案例不方便确认他的通用性,但根据所属公司业绩来看在多个现场工程案例中均使用了SyncPlant,特此献上第二份案例用来进行佐证,以便cncert来进行确认
漏洞证明:
1,远程WEB登录
2,问题如上篇文章所提到的,在对该系统进行测试时同样存在越权
3,到此我们可以继续深入,就以当前测试环境而言,系统开启了远程桌面,netstat确认安装了SQL server,web.config拿到了sa密码,接下来使用SQL扩展xp_cmdshell成功运行了系统命令,并通过转发,成功登录测试服务器
4,上一篇中我们提到了Syncbase通过协议驱动采集下端的DCS等控制设备的数据为前端的WEB提供实时数据,该环境同样如此
5,从该图我们可以看出DCS操作员站通过Moudbus TCP协议将数据转出与Syncbase实时通讯,并与测试服务器为同一网段。通过该图我们可以看出DCS下面二个AI DI数据块,其分别为DCS定义的模拟量输入(一般表示温度、压力、转速、电流等连续变化的量)与开关量输入(一般反馈各种仪表的开,关),此外一般还有AO(模拟量的控制信号,如连续可调的执行器开度控制),DO(控制器发出的开关控制信号),如图在此也为他们定义了相关的数据位置
6,同理我们同样可以Client方式连接,此处我们使用{#3锅炉给水流量}进行测试,这里成功获取到了数据,此处数据显示不同是由于web刷新时间导致。
7,根据当前测试环境我们可以大概判断位于192.168.0.17的DCS通过组态王等组态软件对下面的现场总线实时监
,数据采集、报警控制等等,并使用类似第一篇中的SYNCMB通过标准的Modbus协议将数据进行转发提供给SIS等程序,与第一案例不同的是,目标网络可能没有网闸等工控网络安全隔离设备,这样一来生产环境的网络是比较危险的,站在攻击者的立场上想如果攻击者对DCS等系统进行渗透或者对数据进行下置操作,都有可能直接或者间接的威胁生产的网络安全,故到此没有继续深入。
|