domingo, 18 de febrero de 2018

[ BACnet ] Entrando en materia.

Hace un tiempo que vengo jugando con MODBUS, ( antes escribi algo al respecto ), Ahora a la investigación que llevamos con el amigo Jose (@bertinjoseb), empezamos a sumarle nuevos protocolos.
Uno de ellos fue BACnet.
El post de hoy sera un volcado rapido de algunas de las cosas (practicas) que encontramos.


Exposicion (shodan):  




Un primer cliente para consultar al protocolo:
Son interesantes y siempre  útiles las muestras de trafico que se pueden encontrar en internet. 

CloudShark es un excelente recurso:
https://www.cloudshark.org/captures/2681b41d8abe

[download pcap]: http://kargs.net/captures/bacnet-services.cap









...y es cuando aparecen nuevos vendors:


LUTRON




Primera impresión
Con respecto a las credenciales, me saltee la parte de leer la documentación de este cacharro.  Las credenciales estaban dentro del top ten de las posibilidades que cualquier atacante intentara:

User: lutron
Pass: lutron



Vulnerabilidad identificada:

[+] Broken Access Control(CVE-2018-7276)
El atacante solo necesita modificar la URL, por algunos de los recursos que conocimos sin necesidad de estar autenticados y los podremos leer sin mayores complicaciones





[+] Explotando un "Cross Protocol Injection", via BACnet: (CVE-2018-7277 & CVE-2018-7278 )

Ya explotamos mucho "Cross Protocol Injection", via SNMP. Ahora sera atravez de BACnet y Jose lo explica de esta manera:

Confió que les va a gustar:




las POCs del video van sobre:
https://www.kele.com/network-and-wireless/raptor-protocol-converter.aspx





--------------------------------------------------------------
O.o

[Sensitive information] :
El archivo "DbXmlInfo.xml" expone información GPS del device entre otras cosas ( como detalle del proveedor de la solucion)



[***]



Cuando veo coordenadas me siento siempre tentado a buscarlas en el mapa ( Google ).


zoom...





Es logico encontrar esas latitudes apuntando a grandes edificio y hermosas casonas. Dada la relación que tiene BACnet con la Domotica.

Aunque a veces:








Algo no me cierra con esa lat/lon.



Saludos,
@Capitan_alfa



No hay comentarios.:

Publicar un comentario