原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险

  • A+
所属分类:安全新闻
作者 | Claroty研究团队
翻译 | 何跃鹰,孙中豪

近几个月来,Claroty研究人员发现了远程代码执行漏洞,其可以影响虚拟专用网(VPN)的实施,VPN主要用来提供对OT网络的远程访问。这些专用的远程访问主要集中于工业控制系统(ICS)行业,其主要用例是为现场控制器和设备(包括可编程逻辑控制器(PLC)和输入/输出(IO)设备)提供维护和监视。远程访问通常部署在Purdue模型级别5的网络的外层边界,并提供对级别1/0的现场控制器和设备的访问。利用这些漏洞可以使攻击者直接访问现场设备,并造成一定程度的物理损坏。

原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险

图1  工业控制系统中的Purdue模型图
易受攻击的产品广泛用于基于现场的行业,例如石油、天然气、自来水公司和电力公司,这些行业与远程站点的安全连接至关重要。除了站点之间的互连,这些解决方案还使远程操作员和第三方供应商能够拨入客户站点并为PLC和其他1/0级设备提供维护和监视。在COVID-19期间,这种访问变得尤为重要。
为了更好地了解这些漏洞带来的风险以及可能采取哪些措施防御此类攻击,我们大量测试了一些常用的远程访问方案的安全状态。我们的发现如下。

拥有云(Secomea CVE-2020-14500 )

易受攻击的远程访问服务器可以作为针对VPN的攻击者的高效攻击面。这允许客户端通过加密隧道连接服务器。然后,服务器将通信转发到内部网络。这意味着服务器是网络中的关键资产,因为它是网络中的一个“分支”,所有人都可以访问,而且也是安全的内部网络中的一个“分支”。因此,获得对它的访问权限使攻击者不仅可以查看内部流量,还可以像网络中的合法主机一样进行通信。
此外,近年来,我们已经看到了基于云的远程访问方案,该远程方案通常可以快速部署并且成本低。另外,我们还看到”带有白色标签的”远程方案,大型公司可以购买这些方案来拥有自己的私有云,但这些私有云的底层软件则完全相同。因此,在一个实例中发现漏洞可能意味着所有其他实例也将受到影响。
SecomeaGateManager是一款广泛使用的ICS远程访问服务器,其作为一个基于云的SaaS方案部署在全球,并部署了许多通用和白标签实例。基于Secomea网站,GateManager云服务器旨在提供快速便捷的Web访问,同时不需要设置服务器。
原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险
图2  由Secomea提供的图表显示了ICS域中的远程访问方案是如何工作的,其最终目标是连接到0/1级的PLC和现场设备
Claroty研究团队的Sharon Brizinov和Tal Keren发现Secomea远程访问包含多个安全漏洞,其中包括一个影响GateManager组件的严重漏洞(CVE-2020-14500),该组件是Secomea远程访问中的主要路由实例。GateManager组件位于客户网络的外围(客户网络暴露于外部网络,如Internet),并接受来自远程站点/客户端的连接。这些云服务器是多租户,但也可以作为本地方案安装和配置。
这些发现的漏洞是由于对客户端提供的某些HTTP请求头的处理不当造成的。这可能使攻击者无需任何身份验证即可远程利用GateManager来实现远程代码执行。如果成功实施,则这样的攻击可能会导致完全的安全漏洞,从而授予对客户内部网络的完全访问权限,并能够解密通过VPN的所有流量。
Claroty研究人员于2020年5月26日通知Secomea这一漏洞,并于2020年7月10日提供相应的补丁。

拥有场地(Moxa CVE-2020-14511)

ICS行业的一大挑战是远程站点与SCADA/数据服务器所在的主数据中心之间的安全连接。最近,我们看到了许多不安全的事件,即无需任何凭据即可直接访问面向Internet的ICS设备;这个威胁最近已经在CISA的警报中得到了解决。为了避免这种情况,存在多种ICS VPN解决方案,它们能够以安全的方式在站点和中央之间建立这些远程连接。
来自Claroty研究团队的Tal Keren还测试了一个Moxa EDR-G902/3工业VPN服务器,发现了一个基于堆栈的溢出漏洞(CVE-2020-14511),我们在最近的博客文章中对此进行了详细介绍。利用此安全漏洞,攻击者可以使用特制的HTTP请求来触发系统Web服务器中基于堆栈的溢出,并执行远程代码执行而无需任何凭据。
原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险
图3  Claroty研究人员基于对EDR-G902/3固件中易受攻击部分的了解而创建的伪代码。攻击者可以提供一个大cookie,并在系统中触发基于堆栈的溢出
Claroty的研究人员于2020年4月13日首次将这一问题通知Moxa,并于2020年6月9日起提供相应的补丁。

拥有客户端(HMS eWon CVE-2020-14498)

另一个常见的针对vpn的攻击面是客户端。获得对授权用户计算机的控制后,攻击者就可以访问该用户的VPN证书,以及其他员工账户的证书,从而使攻击者能够渗透并进一步扩展其在组织内部网络中的立足点,而无需处理服务器实例。
由HMS网络公司开发的eWon产品提供连接解决方案,使机器制造商和工厂所有者能够远程监控其设备的性能。换句话说,eWon是一个VPN设备,远程客户端可以使用一个名为eCatcher的专有VPN客户端连接到它。Claroty研究团队的Sharon Brizinov对eWon的eCatcher工业控制系统远程访问解决方案进行了测试。在此过程中,他发现了一个关键的堆栈缓冲区溢出错误(CVE-2020-14498),可以通过访问恶意网站或打开包含专门设计的HTML元素的恶意电子邮件来利用该漏洞来实现远程代码执行,触发eCatcher中的漏洞。
原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险
图4  POC的作用:Claroty研究团队演示了攻击者如何利用网络钓鱼策略来利用CVE-2020-14498并实现对eCatcher VPN客户端机器的完全接管
作为POC的攻击媒介,我们选择通过网络钓鱼演示如何利用漏洞。通过发送社会工程的电子邮件,嵌入能够利用CVE-2020-14498的专门制作的图像,攻击者可以执行具有最高特权的代码,并通过让受害者查看恶意电子邮件而完全接管受害者的机器。当电子邮件客户端(例如Outlook)加载恶意图片时,利用阶段立即发生。
Claroty的研究人员于2020年5月12日首次将此问题通知了HMSNetworks,并于2020年7月14日起提供相应的补丁。

结论

远程访问趋势
最近,我们看到了许多关于常用的远程访问方案的漏洞。引人注目的示例包括:CVE-2020-2034CVE-2020-5902。我们预计,在COVID-19在家工作期间,随着这些平台越来越多地使用,它们将在操作方面(因为它们更加注重流程)和安全方面(因为它们越来越普遍)引起越来越多的关注。对企业基础设施中这些组件进行DoS攻击可能会成为出于财务动机的攻击者使用的一种新策略。
ICS勒索软件
目前,高级持续性威胁(Advanced persistent threat, APT)活动呈上升趋势,我们已经看到该活动从范围广泛,很大程度上不加区分的攻击转变为高度针对性的攻击。最近几个月,operational technology (OT)成为勒索软件进行攻击的主要目标,这类攻击主要集中在OT网络的信息技术(IT)组件上,如人机接口(HMIs)和工程工作站。
利用Secomea、eWon和Moxa等边缘设备的漏洞,可以为这些组织提供直接访问ICS设备和关键目标区域的权限,一旦接管设备,可能会为这些攻击者的业务模型带来最大的收益。攻击者使用这种战术的一个很好的例子是最近的本田袭击。
网络钓鱼活动
由于利用网络钓鱼活动作为攻击媒介,针对OT网络的APT活动的增加,Claroty一直专注于客户端攻击。我们在此领域的研究重点是找到针对OT相关客户端的漏洞和攻击,如针对VPN客户端的攻击所示。我们Claroty研究团队的Nadav Erez最近在这些领域进行了其他研究,并将在DEF CON 2020的ICSVillage演讲中介绍他的发现,展示此类型的网络钓鱼活动也可能会滥用ICS特定的文件类型来专门攻击OT工程师。
最后,我们要感谢那些报告了漏洞的产品供应商,感谢他们的快速响应时间。这类产品及其部署的性质要求迅速作出反应,以有效降低这类攻击带来的风险。
我们还要强调,这些漏洞加剧了OT远程访问固有的独特风险。虽然大多数VPN的安全功能使它们适合IT远程访问并能确保其安全性,但是这些功能往往不如能确保OT远程访问连接所需的严格的基于角色和策略的管理控制和监视功能全面,并最大程度地降低了员工和第三方带来的风险。

漏洞详情

Claroty研究人员发现下列与vpn相关的cve漏洞并已发布公告:
Secomea的GateManager CVE漏洞
Secomea发布了新的GateManager版本9.2c9.0i 以缓解所报告的漏洞。当前,最新版本可以在在这里看到。
● CVE-2020-14500
  • 空字符的不正确中和或空字节错误CWE-158

  • 攻击者可以发送负值并覆盖任意数据

● CVE-2020-14508
  • “一次性失误”错误CWE-193

  • 受影响的产品很容易受到“一次性失误”的攻击,它可能使攻击者可以远程执行任意代码或引起拒绝服务的情况

● CVE-2020-14510
  • 使用硬编码的凭证CWE-798

  • 受影响的产品包含用于telnet的硬编码凭据,允许无特权的攻击者以root用户身份执行命令

● CVE-2020-14512
  • 在计算效率不足的情况下使用密码哈希CWE-916

  • 受影响的产品使用弱散列类型,这可能使攻击者可以查看用户密码

Moxa的EDR-G902/3CVE
Moxa建议用户应用适用于EDR-G902系列EDR-G903系列的相应固件更新,将EDR-G902/3更新到v5.5版。
● CVE-2020-14511
  • 基于堆栈的缓冲区溢出CWE-121

  • 受影响的产品容易受到基于堆栈的缓冲区溢出的影响,这可能使攻击者可以远程执行任意代码

eWon的eCatcher CVE
HMS Networks建议用户将eCatcher更新到6.5.5版或更高版本。更多信息,请访问HMS咨询
● CVE-2020-14498
  • 基于堆栈的缓冲区溢出CWE-121

  • 受影响的产品容易受到基于堆栈的缓冲区溢出的攻击,这可能使攻击者可以远程执行任意代码



转载请注明来源:关键基础设施安全应急响应中心

原创 | 从5到0:VPN漏洞给远程OT应用带来网络风险

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: