lunes, 14 de noviembre de 2016

MÚLTIPLES VULNERABILIDADES ( ICS ) - SCHNEIDER ELECTRIC - 5

Otro servicio interesante con que cuentan muchos de los dispositivos de Schneider es el SNMP.
( protocolo simple de administración de red )

Definición de wikepedia:
El Protocolo Simple de Administración de Red o SNMP (del inglés Simple Network Management Protocol) es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Los dispositivos que normalmente soportan SNMP incluyen routersswitches, servidores, estaciones de trabajo, impresoras, bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.



SNMP - Level Access

Siempre con nombre de comunidad por defecto. 'public' y 'private'. Si esto no alcanza aca algo mejor,
por defecto ( AL MENOS EN LOS casi 200 dispositivos testeados por mi ) -, tanto la comunidad 'public' como 'private' tiene los mismo privilegios; lectura y escritura.




pd: no hagan caso a las transparencias de la imagen - No estoy con ganas de ponerme a editar mas de lo necesario. xd.


SNMP - Information Disclosure

OK, ya tenemos ganado el acceso con nombres de comunidad correctos.
Para consultar el servicio podríamos utilizar 'snmpwalk' o el mismo Metasploit.

Para outputs mas objetivos me inclino por algunos Scripts de Nmap 

--script=snmp-sysdescr
--script=snmp-interfaces
--script=snmp-netstat

..:: snmp-sysdescr ::..

nmap -sU -p 161 --script=snmp-sysdescr <HOST>

Ej 1:
161/udp open  snmp
| snmp-sysdescr: Schneider Electric - EGX100MG
|_  System uptime: 6d20h09m30.50s (59097050 timeticks)

Ej 2:
161/udp open  snmp
| snmp-sysdescr: Schneider Electric - PM5560
|_  System uptime: 21d00h42m1.61s (181692161 timeticks)

Ej 3:
161/udp open  snmp
| snmp-sysdescr: Schneider-Electric BMX NOE 0100 REV0280 Modicon M340 Ethernet 1 Port 10/100 RJ45
|_  System uptime: 122d22h20m34.84s (1062123484 timeticks)


-----------------------------------------------------------------

 ..:: snmp-interfaces ::..

nmap -sU -p 161 --script=snmp-interfaces <HOST>

Ej 1:
161/udp open  snmp
| snmp-interfaces: 
|   lo
|     IP address: 127.0.0.1  Netmask: 255.0.0.0
|     MAC address: Unknown
|     Type: other  Speed: 0 Kbps
|     Status: up
|     Traffic stats: 0.00 Kb sent, 0.00 Kb received
|   eth0
|     IP address: 1*9.99.***.83  Netmask: 255.255.255.248
|     MAC address: 00:80:67:82:1b:8b (Square D Company)
|     Type: iso88023Csmacd  Speed: 100 Mbps
|     Status: up
|_    Traffic stats: 1.77 Mb sent, 5.77 Mb received

Ej 2:
161/udp open  snmp
| snmp-interfaces
|   lo0
|     IP address: 127.0.0.1  Netmask: 255.0.0.0
|     Type: softwareLoopback  Speed: 0 Kbps
|     Status: up
|     Traffic stats: 0.00 Kb sent, 0.00 Kb received
|   end0
|     IP address: 192.168.0.100  Netmask: 255.255.255.0
|     MAC address: 00:80:f4:10:d3:41 (Telemecanique Electrique)
|     Type: ethernetCsmacd  Speed: 100 Mbps
|     Status: up
|_    Traffic stats: 205.53 Mb sent, 258.73 Mb received


..:: snmp-netstat ::..

nmap -sU -p 161 --script=snmp-netstat <HOST>

161/udp open  snmp
| snmp-netstat: 
|   TCP  0.0.0.0:21           0.0.0.0:0
|   TCP  0.0.0.0:80           0.0.0.0:0
|   TCP  192.168.0.100:80     213.**.193.57:37116
|   TCP  192.168.0.100:502    0.0.0.0:0
|   TCP  192.168.0.100:502    24.***.17.*6:52268
|   TCP  192.168.0.100:502    192.168.0.100:1024
|   TCP  192.168.0.100:1024   192.168.0.100:502
|   UDP  0.0.0.0:67           *:*
|   UDP  0.0.0.0:68           *:*
|   UDP  0.0.0.0:69           *:*
|_  UDP  0.0.0.0:161          *:*


161/udp open  snmp
| snmp-netstat: 
|   TCP  0.0.0.0:21           0.0.0.0:0
|   TCP  0.0.0.0:80           0.0.0.0:0
|   TCP  0.0.0.0:502          0.0.0.0:0
|   TCP  208.***.234.31:80    49.34.***.200:56770
|   TCP  208.***.234.31:80    49.34.***.200:56771
|   TCP  208.***.234.31:80    49.34.***.200:56776
|   TCP  208.***.234.31:80    49.34.***.200:56778
|   TCP  208.***.234.31:80    49.34.***.200:56782
|   TCP  208.***.234.31:80    49.34.***.200:56786
|   TCP  208.***.234.31:80    49.34.***.200:56788
|   TCP  208.***.234.31:80    49.34.***.200:56790
|_  UDP  0.0.0.0:161          *:*



 ==== SNMP - 'Cross Protocol Injection' === 

El Titulo es un anticipo de un 0day, que en equipo con Jose Bertin, descubrimos y explotamos exitosamente.

Lo presentare en un siguiente articulo.

Gracias @bertinjoseb

Continuara....




Saludos,
@Capitan_Alfa

No hay comentarios.:

Publicar un comentario