日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067527

漏洞标题：日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

漏洞作者： Z-0ne

提交时间：2014-07-05 17:50

修复时间：2014-08-19 17:52

公开时间：2014-08-19 17:52

漏洞类型：网络未授权访问

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-05：细节已通知厂商并且等待厂商处理中
2014-07-10：厂商已经确认，细节仅向厂商公开
2014-07-20：细节向核心白帽子及相关领域专家公开
2014-07-30：细节向普通白帽子公开
2014-08-09：细节向实习白帽子公开
2014-08-19：细节向公众公开

简要描述：

针对三菱Q系列PLC的安全分析可以参照前文，而这个就是一个控制设备跑在公网的切实的案例，同样也是本次能根据title确认的一个案例。
理论上PLC如果没设置密码是可通过编程软件是实现远程管理操作，即工程上载和下载，停止运行等。
该案例中确认了涉事地址开放的web服务为ecoserver（应该同为三菱的小型web能源监控管理系统，主要用来监视当前电力使用情况，加载java后可以查看趋势图等）通过开放的udp端口确认了PLC型号为Q系列PLC（Q12DCCPU-V）。
识别方式可以参照上一篇分析，通用批量验证的话可以使用文中的基于NMAP的nse脚本。

详细说明：

Web部分截图:
首页

趋势图

测点信息

利用NMAP脚本识别的信息：

漏洞证明：

NMAP通用型发现脚本
tcp版本

http://plcscan.org/blog/wp-content/uploads/2014/07/melsecq-discover.nse_.txt

udp版本

http://plcscan.org/blog/wp-content/uploads/2014/07/melsecq-discover-udp.nse_.txt

-- Nmap Scripting Engine
-- required packages for this script
-- 
local bin = require "bin"
local nmap = require "nmap"
local shortport = require "shortport"
local stdnse = require "stdnse"
local string = require "string"
local table = require "table"
--Output Example:
--PORT     STATE SERVICE                REASON
--5006/udp open  Mitsubishi/Melsoft udp syn-ack
--| melsecq-discover:
--|_  CPUINFO: Q03UDECPU
description = [[
discovery Mitsubishi Electric Q Series PLC 
	GET CPUINFO
]]
author = "ICS Security Workspace(plcscan.org)"
license = "Same as Nmap--See http://nmap.org/book/man-legal.html"
categories = {"discovery","intrusive"}
function set_nmap(host, port)
	port.state = "open"
	port.version.name = "Mitsubishi/Melsoft Udp"
	port.version.product = "Mitsubishi Q PLC"
	nmap.set_port_version(host, port)
	nmap.set_port_state(host, port, "open")
 end
function send_receive(socket, query)
	local sendstatus, senderr = socket:send(query)
	if(sendstatus == false) then
    return "Error Sending getcpuinfopack"
	end
	local rcvstatus,response = socket:receive()
	if(rcvstatus == false) then
	return "Error Reading getcpuinfopack"
	end
	return response
	end
portrule = shortport.port_or_service(5006, "Melsoft/TCP", "udp")
action = function(host,port)
	local getcpuinfopack = bin.pack("H","57000000001111070000ffff030000fe03000014001c080a080000000000000004" .. "0101" .. "010000000001")
	local response
	local output = stdnse.output_table()
	local sock = nmap.new_socket()
	local constatus,conerr = sock:connect(host,port)
	if not constatus then
    stdnse.print_debug(1,
      'Error establishing connection for %s - %s', host,conerr
      )
    return nil
	end
	response  = send_receive(sock, getcpuinfopack)
	local mel, pack_head = bin.unpack("C", response, 1)
--	local mel, space_id = bin.unpack("C", response, 55)
	local offset = 0
	if ( pack_head == 0xd7) then
--		if ( space_id == 0x20) then
		local mel
		local mel, cpuinfo = bin.unpack("z", response, 42 + offset)
		output["CPUINFO"] = string.sub(cpuinfo, 1, 16)
		set_nmap(host, port)
		sock:close()
		return output	
--	end
	else
	sock:close()
    	return nil
	
	end
	
		
end

修复方案：

内部系统和外部设备还是不应该对外

版权声明：转载请注明来源 Z-0ne@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-07-10 17:14

厂商回复：

CNVD确认所述情况（不直接复现），已经转由CNCERT直接向JPCERT/JVN通报所述漏洞案例情况。给z-0ne建立的 rank 20。建议有兴趣在工控方面研究的白帽子共同参与。

漏洞评价：

2014-07-05 17:54 | 我也不知道 ( 路人 | Rank:27 漏洞数:8 | 小新人QAQ)

叼炸天
2014-07-05 17:55 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

要感谢下某位童鞋提供的基础数据以供二次识别确认
2014-07-05 18:37 | HUC缘生 ( 路人 | Rank:28 漏洞数:29 | 小白求罩~~~~)

围观是能源设备cpu加载以太网模块接入公网？如果编程软件没有加入权限密码可以任意上传下载停止类似PLC的数据模块？
2014-07-05 19:10 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

勘误一下，现在也只能猜测为是可能用于某楼能控的PLC，web的话应该为内嵌的，低版本的Q系列对以太网的支持是没有嵌入式的web监控界面的，产品资料http://www.mitsubishielectric.co.jp/fa/products/faspec/point.do?kisyu=/plcq&formNm=700057164
2014-07-05 19:58 | zeracker ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

我觉得还是有一定几率是实验室环境中的设备，当然仍然是存在风险的，我建议洞主能够多收集目标ip。
2014-07-05 22:35 | Manning ( 普通白帽子 | Rank:559 漏洞数:78 | 就恨自己服务器太少)

洞主，解放军需要你！
2014-07-10 15:57 | cncert国家互联网应急中心(乌云厂商)

@Z-0ne 哪位同学啊，全网的数据么？
2014-07-10 16:19 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

@cncert国家互联网应急中心万分之一的命中率，全网没资源去做
2014-07-10 23:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

给力啊
2014-07-13 22:10 | 我是白帽子 ( 路人 | Rank:10 漏洞数:1 | 我是白帽子)

转由CNCERT直接向JPCERT/JVN通报所述漏洞案例情况
2014-08-19 19:13 | 看风者 ( 实习白帽子 | Rank:52 漏洞数:14 | To shun evil is understanding)

光看名字就nb
2014-08-19 19:21 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

促进中日良好合作发展，改善中日外交关系

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067527

漏洞标题：日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

相关厂商：日本北海道大学

漏洞作者： Z-0ne

提交时间：2014-07-05 17:50

修复时间：2014-08-19 17:52

公开时间：2014-08-19 17:52

漏洞类型：网络未授权访问

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Z-0ne@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-067527

漏洞标题：日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

相关厂商：日本北海道大学

漏洞作者： Z-0ne

提交时间：2014-07-05 17:50

修复时间：2014-08-19 17:52

公开时间：2014-08-19 17:52

漏洞类型：网络未授权访问

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-067527"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Z-0ne@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：