日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

admin
admin
admin
102795
文章
87
评论
2015年4月22日08:33:19评论539 views字数 262阅读0分52秒阅读模式
摘要

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-10: 厂商已经确认,细节仅向厂商公开
2014-07-20: 细节向核心白帽子及相关领域专家公开
2014-07-30: 细节向普通白帽子公开
2014-08-09: 细节向实习白帽子公开
2014-08-19: 细节向公众公开

漏洞概要 关注数(25) 关注此漏洞

缺陷编号: WooYun-2014-67527

漏洞标题: 日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

相关厂商: 日本北海道大学

漏洞作者: Z-0ne日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

提交时间: 2014-07-07 17:50

公开时间: 2014-08-19 17:52

漏洞类型: 网络未授权访问

危害等级: 高

自评Rank: 10

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 内部系统对外 工控安全 PLC 基础设备安全 PLC安全

0人收藏

漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-10: 厂商已经确认,细节仅向厂商公开
2014-07-20: 细节向核心白帽子及相关领域专家公开
2014-07-30: 细节向普通白帽子公开
2014-08-09: 细节向实习白帽子公开
2014-08-19: 细节向公众公开

简要描述:

针对三菱Q系列PLC的安全分析可以参照前文,而这个就是一个控制设备跑在公网的切实的案例,同样也是本次能根据title确认的一个案例。
理论上PLC如果没设置密码是可通过编程软件是实现远程管理操作,即工程上载和下载,停止运行等。
该案例中确认了涉事地址开放的web服务为ecoserver(应该同为三菱的小型web能源监控管理系统,主要用来监视当前电力使用情况,加载java后可以查看趋势图等)通过开放的udp端口确认了PLC型号为Q系列PLC(Q12DCCPU-V)。
识别方式可以参照上一篇分析,通用批量验证的话可以使用文中的基于NMAP的nse脚本。

详细说明:

Web部分截图:

首页

日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

趋势图

日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

测点信息

日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

利用NMAP脚本识别的信息:

日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露

漏洞证明:

NMAP通用型发现脚本

tcp版本

code 区域 
http://**.**.**.**/blog/wp-content/uploads/2014/07/melsecq-discover.nse_.txt

udp版本

code 区域 
http://**.**.**.**/blog/wp-content/uploads/2014/07/melsecq-discover-udp.nse_.txt
code 区域 
-- Nmap Scripting Engine
 -- required packages for this script
 -- 
 local bin = require "bin"
 local nmap = require "nmap"
 local shortport = require "shortport"
 local stdnse = require "stdnse"
 local string = require "string"
 local table = require "table"
 
 --Output Example:
 --PORT     STATE SERVICE                REASON
 --5006/udp open  Mitsubishi/Melsoft udp syn-ack
 --| melsecq-discover:
 --|_  CPUINFO: Q03UDECPU
 
 
 description = [[
 discovery Mitsubishi Electric Q Series PLC 
  GET CPUINFO
 ]]
 
 
 author = "ICS Security Workspace(**.**.**.**)"
 license = "Same as Nmap--See http://**.**.**.**/book/man-legal.html"
 categories = {"discovery","intrusive"}
 
 function set_nmap(host, port)
  port.state = "open"
  port.version.name = "Mitsubishi/Melsoft Udp"
  port.version.product = "Mitsubishi Q PLC"
  nmap.set_port_version(host, port)
  nmap.set_port_state(host, port, "open")
 
  end
 
 function send_receive(socket, query)
  local sendstatus, senderr = socket:send(query)
  if(sendstatus == false) then
     return "Error Sending getcpuinfopack"
  end
  local rcvstatus,response = socket:receive()
  if(rcvstatus == false) then
  return "Error Reading getcpuinfopack"
  end
  return response
  end
 
 portrule = shortport.port_or_service(5006, "Melsoft/TCP", "udp")
 action = function(host,port)
  local getcpuinfopack = bin.pack("H","57000000001111070000ffff030000fe03000014001c080a080000000000000004" .. "0101" .. "010000000001")
  local response
  local output = stdnse.output_table()
  local sock = nmap.new_socket()
  local constatus,conerr = sock:connect(host,port)
  if not constatus then
     stdnse.print_debug(1,
       'Error establishing connection for %s - %s', host,conerr
       )
     return nil
  end
  response  = send_receive(sock, getcpuinfopack)
  local mel, pack_head = bin.unpack("C", response, 1)
 -- local mel, space_id = bin.unpack("C", response, 55)
  local offset = 0
  if ( pack_head == 0xd7) then
 --  if ( space_id == 0x20) then
   local mel
   local mel, cpuinfo = bin.unpack("z", response, 42 + offset)
   output["CPUINFO"] = string.sub(cpuinfo, 1, 16)
   set_nmap(host, port)
   sock:close()
   return output 
 -- end
  else
  sock:close()
      return nil
  
  end
  
   
 end

修复方案:

内部系统和外部设备还是不应该对外

版权声明:转载请注明来源 Z-0ne@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-10 17:14

厂商回复:

CNVD确认所述情况(不直接复现),已经转由CNCERT直接向JPCERT/JVN通报所述漏洞案例情况。给z-0ne建立的 rank 20。建议有兴趣在工控方面研究的白帽子共同参与。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

0%

0%

0%

0%

评价

  1. 2014-07-05 17:54 | 我也不知道 ( 路人 | Rank:27 漏洞数:8 | 小新人QAQ)

    0

    叼炸天

  2. 2014-07-05 17:55 | Z-0ne 日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    0

    要感谢下某位童鞋提供的基础数据以供二次识别确认

  3. 2014-07-05 18:37 | HUC缘生 ( 路人 | Rank:28 漏洞数:29 | 小白求罩~~~~)

    0

    围观 是能源设备cpu加载以太网模块接入公网? 如果编程软件没有加入权限密码可以任意上传下载停止类似PLC的数据模块?

  4. 2014-07-05 19:10 | Z-0ne 日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    0

    勘误一下,现在也只能猜测为是可能用于某楼能控的PLC,web的话应该为内嵌的,低版本的Q系列对以太网的支持是没有嵌入式的web监控界面的, 产品资料http://www.mitsubishielectric.co.jp/fa/products/faspec/point.do?kisyu=/plcq&formNm=700057164

  5. 2014-07-05 19:58 | zeracker 日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

    0

    我觉得还是有一定几率是 实验室环境中的设备,当然仍然是存在风险的,我建议洞主能够多收集目标ip。

  6. 2014-07-05 22:35 | Manning ( 普通白帽子 | Rank:1181 漏洞数:144 | https://github.com/manning23/MSpider)

    0

    洞主,解放军需要你!

  7. 2014-07-10 15:57 | cncert国家互联网应急中心(乌云厂商)

    0

    @Z-0ne 哪位同学啊,全网的数据么?

  8. 2014-07-10 16:19 | Z-0ne 日本北海道大学能源管理系统加三菱Q系列PLC以太网模块泄露 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    0

    @cncert国家互联网应急中心 万分之一的命中率,全网没资源去做

  9. 2014-07-10 23:04 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    0

    给力啊

  10. 2014-07-13 22:10 | 我是白帽子 ( 路人 | Rank:10 漏洞数:1 | 我是白帽子)

    0

    转由CNCERT直接向JPCERT/JVN通报所述漏洞案例情况

  11. 2014-08-19 19:13 | 看风者 ( 实习白帽子 | Rank:52 漏洞数:14 | To shun evil is understanding)

    0

    光看名字就nb

  12. 2014-08-19 19:21 | 魂淡、 ( 路人 | Rank:17 漏洞数:2 | 么么哒)

    0

    促进中日良好合作发展,改善中日外交关系

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin