Công cụ truy cập từ xa công nghiệp Ewon Cosy+ dễ bị tấn công truy cập root

Tác giả ChatGPT, T.Tám 12, 2024, 07:06:47 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các lỗ hổng bảo mật đã được tiết lộ trong giải pháp truy cập từ xa công nghiệp Ewon Cosy+ có thể bị lạm dụng để giành quyền root đối với thiết bị và thực hiện các cuộc tấn công tiếp theo.

Quyền truy cập nâng cao sau đó có thể được vũ khí hóa để giải mã các tệp chương trình cơ sở được mã hóa và dữ liệu được mã hóa như mật khẩu trong tệp cấu hình và thậm chí nhận được chứng chỉ VPN X.509 được ký chính xác để các thiết bị nước ngoài tiếp quản các phiên VPN của chúng.


Nhà nghiên cứu bảo mật Moritz Abrell của SySS GmbH cho biết trong một phân tích mới: "Điều này cho phép kẻ tấn công chiếm quyền điều khiển các phiên VPN, dẫn đến rủi ro bảo mật đáng kể đối với người dùng Cosy+ và cơ sở hạ tầng công nghiệp lân cận".

Những phát hiện này đã được trình bày tại hội nghị DEF CON 32 vào cuối tuần qua.

Kiến trúc của Ewon Cosy+ liên quan đến việc sử dụng kết nối VPN được định tuyến đến nền tảng do nhà cung cấp quản lý có tên Talk2m thông qua OpenVPN. Kỹ thuật viên có thể kết nối từ xa với cổng công nghiệp bằng chuyển tiếp VPN diễn ra thông qua OpenVPN.

Công ty pentest có trụ sở tại Đức cho biết họ có thể phát hiện ra lỗ hổng chèn lệnh của hệ điều hành và bỏ qua bộ lọc giúp có thể lấy được shell đảo ngược bằng cách tải lên cấu hình OpenVPN được chế tạo đặc biệt.

Kẻ tấn công sau đó có thể đã lợi dụng lỗ hổng tập lệnh chéo trang (XSS) liên tục và thực tế là thiết bị lưu trữ thông tin xác thực được mã hóa Base64 của phiên web hiện tại trong thông tin xác thực có tên cookie không được bảo vệ để có quyền truy cập quản trị và cuối cùng là root nó.


Abrell cho biết: "Kẻ tấn công không được xác thực có thể giành quyền truy cập root vào Cosy+ bằng cách kết hợp các lỗ hổng được tìm thấy và chẳng hạn như chờ người dùng quản trị viên đăng nhập vào thiết bị".

Chuỗi tấn công sau đó có thể được mở rộng hơn nữa để thiết lập tính bền vững, truy cập các khóa mã hóa dành riêng cho phần sụn và giải mã tệp cập nhật phần sụn. Hơn nữa, một khóa mã hóa cứng được lưu trữ trong tệp nhị phân để mã hóa mật khẩu có thể được tận dụng để trích xuất các bí mật.


Abrell giải thích: "Việc giao tiếp giữa Cosy+ và API Talk2m được thực hiện thông qua HTTPS và được bảo mật thông qua xác thực TLS (mTLS) lẫn nhau". "Nếu thiết bị Cosy+ được gán cho tài khoản Talk2m, thiết bị sẽ tạo yêu cầu ký chứng chỉ (CSR) chứa số sê-ri làm tên chung (CN) và gửi nó tới API Talk2m."

Chứng chỉ này, có thể được thiết bị truy cập thông qua API Talk2m, được sử dụng để xác thực OpenVPN. Tuy nhiên, SySS nhận thấy rằng kẻ tấn công có thể chỉ dựa vào số sê-ri của thiết bị để đăng ký CSR của chính chúng bằng số sê-ri nếu thiết bị mục tiêu và khởi tạo thành công phiên VPN.

Abrell cho biết: "Phiên VPN ban đầu sẽ bị ghi đè và do đó thiết bị ban đầu không thể truy cập được nữa". "Nếu người dùng Talk2m kết nối với thiết bị bằng phần mềm máy khách VPN Ecatcher, chúng sẽ được chuyển tiếp đến kẻ tấn công."

"Điều này cho phép kẻ tấn công tiến hành các cuộc tấn công tiếp theo chống lại máy khách đã sử dụng, chẳng hạn như truy cập các dịch vụ mạng như RDP hoặc SMB của máy khách nạn nhân. Thực tế là bản thân kết nối đường hầm không bị hạn chế ủng hộ cuộc tấn công này."

"Vì giao tiếp mạng được chuyển tiếp đến kẻ tấn công nên mạng và hệ thống ban đầu có thể bị bắt chước để chặn đầu vào của người dùng nạn nhân, chẳng hạn như các chương trình PLC đã tải lên hoặc tương tự."

Sự phát triển này diễn ra khi Microsoft phát hiện ra nhiều lỗ hổng trong OpenVPN có thể bị xâu chuỗi để thực thi mã từ xa (RCE) và leo thang đặc quyền cục bộ (LPE).