12.08.2024
W narzędziu do zdalnego dostępu przemysłowego Ewon Cosy+ ujawniono poważne luki w zabezpieczeniach, które mogą zostać wykorzystane do uzyskania uprawnień roota na urządzeniach oraz przeprowadzenia dalszych ataków.
Wykorzystanie Uprawnień Root
Podniesione uprawnienia mogą zostać wykorzystane do odszyfrowania zaszyfrowanych plików firmware oraz danych, takich jak hasła w plikach konfiguracyjnych, a także do uzyskania prawidłowo podpisanych certyfikatów X.509 VPN dla obcych urządzeń, co umożliwia przejęcie ich sesji VPN.
„To pozwala na przejęcie sesji VPN, co stanowi istotne zagrożenie bezpieczeństwa dla użytkowników Cosy+ oraz przyległej infrastruktury przemysłowej” – stwierdził Moritz Abrell, badacz ds. bezpieczeństwa z SySS GmbH, w nowej analizie.
Wyniki badań zostały przedstawione na konferencji DEF CON 32.
Architektura Ewon Cosy+ i Podatności
Architektura Ewon Cosy+ opiera się na połączeniu VPN, które jest kierowane do platformy zarządzanej przez dostawcę o nazwie Talk2m za pomocą OpenVPN. Technicy mogą zdalnie łączyć się z bramą przemysłową za pomocą przekaźnika VPN, który odbywa się poprzez OpenVPN.
Firma SySS GmbH z Niemiec odkryła lukę w zabezpieczeniach umożliwiającą wstrzykiwanie poleceń systemu operacyjnego oraz obejście filtrów, co pozwoliło na uzyskanie odwróconej powłoki (reverse shell) poprzez przesłanie odpowiednio spreparowanej konfiguracji OpenVPN.
Atakujący mógł następnie wykorzystać trwałą podatność typu cross-site scripting (XSS) oraz fakt, że urządzenie przechowuje zakodowane w Base64 poświadczenia bieżącej sesji internetowej w niezabezpieczonym pliku cookie o nazwie „credentials”, aby uzyskać dostęp administracyjny i ostatecznie zdobyć uprawnienia roota.
Atakowanie Cosy+ i Talk2m
„Niezalogowany atakujący może uzyskać dostęp root do Cosy+ poprzez połączenie odkrytych podatności, na przykład czekając, aż użytkownik admin zaloguje się do urządzenia” – dodał Abrell.
Łańcuch ataków mógłby zostać rozszerzony w celu ustanowienia trwałości, uzyskania dostępu do kluczy szyfrowania specyficznych dla firmware i odszyfrowania pliku aktualizacji firmware. Co więcej, twardo zakodowany klucz przechowywany w binarium do szyfrowania haseł mógłby zostać wykorzystany do wyodrębnienia tajnych danych.
„Komunikacja pomiędzy Cosy+ a API Talk2m odbywa się za pomocą HTTPS i jest zabezpieczona poprzez wzajemne uwierzytelnianie TLS (mTLS)” – wyjaśnił Abrell. „Jeśli urządzenie Cosy+ jest przypisane do konta Talk2m, generuje ono żądanie podpisania certyfikatu (CSR) zawierające jego numer seryjny jako nazwę główną (CN) i wysyła je do API Talk2m.”
Ten certyfikat, który może zostać uzyskany przez urządzenie za pośrednictwem API Talk2m, jest używany do uwierzytelniania OpenVPN. Jednakże SySS odkrył, że poleganie wyłącznie na numerze seryjnym urządzenia może zostać wykorzystane przez atakującego do zarejestrowania własnego CSR z numerem seryjnym celu i skutecznego rozpoczęcia sesji VPN.
„Oryginalna sesja VPN zostanie nadpisana, a tym samym oryginalne urządzenie nie będzie już dostępne” – stwierdził Abrell. „Jeśli użytkownicy Talk2m łączą się z urządzeniem za pomocą oprogramowania klienta VPN Ecatcher, zostaną przekierowani do atakującego.”
„To pozwala atakującym na przeprowadzanie dalszych ataków przeciwko używanemu klientowi, na przykład na dostęp do usług sieciowych takich jak RDP lub SMB klienta ofiary. Fakt, że połączenie tunelowe samo w sobie nie jest ograniczone, sprzyja temu atakowi.”
„Ponieważ komunikacja sieciowa jest przekierowywana do atakującego, oryginalna sieć i systemy mogą zostać podrobione w celu przechwycenia wprowadzanych przez ofiarę danych, takich jak wgrywane programy PLC lub podobne.”
Źródła i przydatne linki
https://thehackernews.com/2024/08/industrial-remote-access-tool-ewon-cosy.html
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.