当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021250

漏洞标题:从某知名厂商MIS软件逻辑缺陷谈对某工控网络的渗透

相关厂商:国家安全生产监督管理总局

漏洞作者: Z-0ne

提交时间:2013-04-05 08:39

修复时间:2013-05-20 08:39

公开时间:2013-05-20 08:39

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-05: 细节已通知厂商并且等待厂商处理中
2013-04-08: 厂商已经确认,细节仅向厂商公开
2013-04-18: 细节向核心白帽子及相关领域专家公开
2013-04-28: 细节向普通白帽子公开
2013-05-08: 细节向实习白帽子公开
2013-05-20: 细节向公众公开

简要描述:

该篇案例比较详细,图也比较多,下面如果有什么口胡的地方就略了吧(技术水平有限),以下敏感信息均已打码,相关系统信息将会私信给cncert。
喜欢工控安全的筒子们可以多多交流

详细说明:

SyncPlant是为南京科远自动化集团股份有限公司为发电企业量身打造的智能一体化信息系统解决方案,完美整合生产管理、设备资产、经营管理、人力资源、行政综合、实时监控(SIS)、工程项目(基建MIS)KKS编码等业务管理系统为一体。以下测试版本根据反馈结果为SyncPlant V4.0。

0.jpg


7_1.jpg

漏洞证明:

1,远程web登录

1.jpg


2,未登录状况下多个页面可以匿名访问,下面以用户列表举例,如图

2.jpg


3,查询后可列出所有用户名,点重置密码后可以重置任意用户密码为初始密码888888

3.jpg


3_1.jpg


4,提示成功后返回登录界面工号即登录用户名,使用初始密码即可登录

4.jpg


5,该平台功能比较强大,功能也相当多,再加载ocx后可查看各个生产线的实时运行状态,找到文件上传处即可上传任意文件得到网站的shell

4_1.jpg


6,以当前测试服务器的环境来说网络环境位于内网,远程桌面没开,系统装有pcanywhere11.5,被控端启用TCP,监听默认5631端口,尝试下载pcanywhere的.cif密码文件解密后只得到用户名administrator密码无,之后发现系统设置了自动登录并读取到了登录密码,lcx转发5631端口后,本机使用拿到的密码成功登录测试服务器

5.jpg


7,Syncbase同为科远旗下一款优秀的应用于工业环境的实时/历史数据库,类似上第5条图所述实时监控数据都来自于实时数据库从下端DCS RTU PLC等设备采集上来的

6.jpg


8,图中Syncmb用来读取DCS或其他控制设备的I/O测点数据并采用Modbus协议将采集数据进行转发

7.jpg


8.1,此处我们添加一个名叫test的模拟量,设置驱动,连接地址,扫描周期以及功能码外加寄存器地址,添加成功后我们看到成功采到了数据,然后客户端进行连接测试

9.jpg


10.jpg


8.2,寄存器地址和功能码,设备地址,数据长度匹配后,客户端成功采到数据,这里值得一提的是,类似如果我们添加一个可读写的输入开关量,对点的数据进行下置,就该环境而言在上位机与下位机之间没有安全设备,进行转发隔离过滤的话,你懂的

11.jpg


9,再就当前测试环境来看,下位DCS等控制设备通过网闸与上位SIS相连,而根据网闸不同的设置一般只允许从DCS向SIS发送数据。

13.jpg


10,根据测试系统确认了该环境使用了SysKeeper-2000,配置网闸需要连接串口(http://wenku.baidu.com/view/60451ca0284ac850ad024286.html),因为无网闸管理软件未继续深入,最后通过超级终端确认了串口连接情况。

14.jpg


11,以及内网多台重要业务服务器密码整齐划一,安全风险极高

15.jpg

修复方案:

联系软件厂商寻求技术支持
改善内网安全

版权声明:转载请注明来源 Z-0ne@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-04-08 08:57

厂商回复:

根据白帽子提供的测试入口,CNVD在与wooyun-2013-021314相同的两个实例上复现所述情况(考虑到风险,未对在线系统内部网络进行测试)。同时根据生产厂商软件应用特征,找到另外两个实例,但在两个实例上未发现所述漏洞风险,因此通用性上暂未能进一步确认。
如果白帽子有第三个案例,也可以继续提供。
转由CNCERT通过正式函件向国家上级信息安全主管机构报送。两个案例均涉及在线生产系统,每个rank 20

最新状态:

暂无


漏洞评价:

评论

  1. 2013-04-05 09:11 | lucky ( 普通白帽子 | Rank:409 漏洞数:81 | 三人行必有我师焉########################...)

    关注一下!什么情况!

  2. 2013-04-05 09:56 | 马燕羊蝎子 ( 实习白帽子 | Rank:83 漏洞数:10 | 亲,啥时候请吃马燕羊蝎子。)

    nice

  3. 2013-04-05 10:02 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    被雷劈了,关注下。。。

  4. 2013-04-05 10:07 | Seraph ( 路人 | Rank:23 漏洞数:6 | 没有死,不等于活着!)

    关注下

  5. 2013-04-05 10:09 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:232 | 雙魚座聖鬥士雅柏菲卡)

    围观

  6. 2013-04-05 14:27 | qiaoy ( 普通白帽子 | Rank:110 漏洞数:15 )

    .

  7. 2013-04-07 06:54 | smallworm ( 路人 | Rank:20 漏洞数:4 | ...)

    关注,等细节

  8. 2013-04-08 21:38 | 小色 ( 路人 | Rank:0 漏洞数:1 | 撸的一手好管)

    关注

  9. 2013-05-20 09:12 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    好长 没有太看懂 呵呵

  10. 2013-05-20 09:34 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    好牛逼的样子 2个20rank markt

  11. 2013-05-20 10:39 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    这个系统设计思路真奇葩

  12. 2014-09-25 13:23 | ziwen ( 实习白帽子 | Rank:49 漏洞数:4 | 活着为了乐还是为了苦?)

    怎么找到的未授权也可访问的页面和远程web登录界面的IP呢