Modbus閘道器漏洞(CVE-2021-4161)分析
漏洞概述
近期,啟明星辰ADLab在工業控制漏洞監控中發現工控廠商Moxa的Modbus閘道器存在高危漏洞(CVE-2021-4161),ICS-CERT的評分高達9.8。針對該高危漏洞,ADLab研究員第一時間進行了詳細分析和驗證。
基本資訊
根據ICS-CERT的漏洞公告,該漏洞基本資訊如下:
l 受影響的裝置:MGate MB3180/MB3280/MB3480 Series Protocol Gateways
l 受影響的版本:
n MGate MB3180 Series: Firmware Version 2.2 or lower
n MGate MB3280 Series: Firmware Version 4.1 or lower
n MGate MB3480 Series: Firmware Version 3.2 or lower
l 漏洞可利用性:遠端、低複雜度
l CVSS v3評分: 9.8
漏洞描述
根據ICS-CERT漏洞公告的描述,該漏洞型別屬於敏感資訊明文傳輸。受影響裝置的韌體存在漏洞,攻擊者可以透過嗅探網路流量來竊取和解密裝置登入憑據的詳細資訊,從而獲得對目標裝置http web server的admin許可權。
圖 1、ICS-CERT Advisory中對漏洞的描述
該漏洞的CVSS3特徵為(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。如圖2所示,ICS-CERT認為該漏洞可遠端利用,同時對完整性(Integrity)和可用性(Availability)的影響均為“High”。
圖 2、ICS-CERT 對CVE-2021-4161的CVSS(3.0)評分
從前面的漏洞描述可知,該漏洞是一個不安全的憑據傳輸導致憑據洩露的漏洞。那麼,為何ICS-CERT認為這樣一個漏洞其對完整性和可用性的影響為“High”呢。帶著這個疑惑,我們在MGate MB3180裝置上對該漏洞進行了分析和驗證。
漏洞分析
根據ICS-CERT對漏洞的描述,我們一開始猜測該系列裝置的web登入採用了Basic認證。Basic認證是低效能裝置web server所常用的方法,其幾乎沒有安全性,直接透過base64解碼登入流量的認證資訊即可獲得使用者名稱密碼。
按照上述思路,我們對MB3180的登入流量進行了分析,如圖3所示。MB3180的Web認證並沒有採用Basic認證方式。
圖 3、MB3180 Web登入POST請求
繼續對登入請求進行分析,發現請求中的表單資料包含了“account”、“password”等欄位資訊。如圖4所示:
圖 4、MB3180 Web登入POST請求表單資料(使用者名稱admin,密碼1234567)
觀察表單中的資料可知,account和password沒有常見雜湊運算的特徵。多次登入的表單資料如下所示:
account | password | FakeChallenge | csrf_token | 使用的使用者名稱密碼 |
469fe4cac1 | 16c9ba979a0bd3 | B8A4E38148D12B97D92056B6F4DDB355052C946C5F2CF6D39849DBB174FE21DC | AtrzwL7ZEY9IF80m | admin/123456 |
8db6c0bba0 | 8db6c0bba0 | F86896D3BB3A40637E9CEE7C15B4FE5749895A52125B2DE053C0A3FC20191333 | epgXsUozDOXeYsRh | admin/admin |
8db6c0bba0 | 81bdd5b3 | F86896D3BB3A40637E9CEE7C15B4FE5749895A52125B2DE053C0A3FC20191333 | cRzS3T5XqnrUasgx | admin/moxa |
4a94f1c2 | 4a94f1c2 | B8A4E38148D12B97D92056B6F4DDB355052C946C5F2CF6D39849DBB174FE21DC | KgWAtRgHRPyG98CZ | moxa/moxa |
表 1、使用不同使用者名稱密碼登入的POST表單部分資料記錄
從上表資料還可以發現如下特徵:
l account和password和輸入長度是相關的;
l account和password和FakeChallenge是相關的。
後續對登入頁面的原始碼分析找到了上述特徵。在登入頁的js程式碼中,setInfo函式負責生成登入資訊並以表單方式提交,如下所示:
圖 5、MB3180的setInfo函式
顯然,登入資料的安全性取決於函式SetSHA256,其程式碼如下所示:
圖 6、MB3180的SetSHA256函式
分析SetSHA256函式的邏輯可知,該函式並沒有真正實現SHA256的功能,而是使用了異或方式來處理輸入資料。具體來講,SetSHA256函式的返回值是xor(m,n)之後的結果,而m來源於account/password,n則來源於FakeChallenge。顯而易見,在FakeChallenge被洩露的前提下,account/password是可還原的。
至此,該漏洞的原理就基本清晰了。MB3180在處理登入頁面的使用者名稱和密碼加密時,未正確實現SHA256的運算,同時web server預設使用http協議。因此,在可嗅探到該裝置登入的http報文時,便可透過解密表單資料來得到登入的使用者名稱和密碼。
漏洞驗證
根據上述漏洞分析結果,我們編寫了解密指令碼對該漏洞進行了驗證。為簡化驗證過程,我們直接使用Wireshark抓取了登入MB3180 Web Server的http流量,然後編寫指令碼對該流量進行分析並解密。
在抓包過程中,我們進行了兩次登入,使用者名稱均為admin,密碼則使用了一個錯誤的密碼(admin)和一個正確的密碼(moxa)。
圖 7、使用admin\admin登入的表單資料
圖 8、使用admin\moxa登入的表單資料
驗證結果如圖9所示,可從登入流量解密得到使用者名稱和密碼資訊:
圖 9、解密指令碼驗證
漏洞危害
在工業控制環境中,有大量的裝置並不具備TCP/IP協議棧,要把這些裝置接入基於IT技術的數字化網路就需要藉助協議轉換閘道器來完成。MGate MB系列Modbus閘道器裝置的功能即是把RS485類的工業裝置接入到TCP/IP網路。這類閘道器裝置漏洞的危害通常不僅僅影響該裝置自身,更直接影響其背後支撐的現場裝置。因此,NVD對該漏洞給出了兩種CVSS3評分,如下所示。
圖 10、NVD和ICS-CERT評分割槽別
其中,NVD基於NIST的視角給出了7.5分,而ICS-CERT基於工業視角給出了9.8高分。這兩種評分的差別就在於:從IT角度看,該漏洞不能修改該裝置的底層資料,也不能使裝置停止執行,因此不影響該裝置的完整性和可用性;但從工業角度看,透過該漏洞獲得管理員賬號後可以修改閘道器的配置,進而使得該裝置支撐的工業控制業務發生變更甚至是停止,所以影響了工業控制業務的完整性和可用性。
可見,同樣型別的網路安全漏洞,其在工業控制系統領域的影響和危害通常要高於傳統IT業務領域。因此,在處理工業控制系統網路安全漏洞時,需要考慮到工控業務環境的特殊性,結合對工控業務的影響來綜合評判漏洞的危害才能更加客觀真實的反映漏洞的影響力。
修復建議
目前,官方未釋出該漏洞的修復補丁,但提供了漏洞緩解建議:
Ø 建議將受影響裝置的Web Server訪問的協議設定為https,避免明文傳輸表單資料;
Ø 建議參照Moxa Security Hardening Guide for MGate MB3000 Series中的方式部署裝置。
此外,針對工業控制系統,CISA提供瞭如下的通用建議:
Ø 儘量減少在公網暴露工控裝置或者系統;
Ø 將控制系統網路和遠端裝置置於防火牆之後,並和辦公網路隔離;
Ø 當需要遠端訪問時,採用型別VPN的安全訪問方式。
參考連結
[1].ICS Advisory (ICSA-21-357-01): Moxa MGate Protocol Gateways https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01
[2].CVE-2021-4161 NVD Details
https://nvd.nist.gov/vuln/detail/CVE-2021-4161
[3].Tech Note: Moxa Security Hardening Guide for MGate MB3000 Series
[4].Common Vulnerability Scoring System v3.0: Specification Document
https://www.first.org/cvss/v3.0/specification-document
啟明星辰積極防禦實驗室(ADLab)
ADLab成立於1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員,“黑雀攻擊”概念首推者。截止目前,ADLab已透過CVE累計釋出安全漏洞近1100個,透過 CNVD/CNNVD累計釋出安全漏洞2000餘個,持續保持國際網路安全領域一流水準。實驗室研究方向涵蓋作業系統與應用系統安全研究、移動智慧終端安全研究、物聯網智慧裝置安全研究、Web安全研究、工控系統安全研究、雲安全研究。研究成果應用於產品核心技術研究、國家重點科技專案攻關、專業安全服務等。
相關文章
- Modbus TCP轉Profinet閘道器配置案例TCP
- 物通博聯Modbus RTU轉 Modbus TCP閘道器有什麼功能TCP
- Modbus轉Profinet閘道器解決Modbus輪詢速度慢的問題
- 通訊協議轉換Modbus轉Profinet閘道器協議
- 北京Profinet轉Modbus閘道器配置除錯詳解除錯
- Modbus轉Ethernet IP閘道器模組與匯川PLC通訊在閘道器配置軟體中的配置
- 物聯網閘道器中MQTT和Modbus之間有何區別MQQT
- PLC透過Profinet轉Modbus閘道器與流量計通訊案例
- FQC外檢機使用Profibus轉Modbus閘道器提升工作效率
- Modbus轉Profinet閘道器連線LED大屏與PLC通訊
- Modbus轉Ethernet/IP閘道器模組與匯川PLC通訊案例
- Janusec應用安全閘道器(WAF閘道器)
- Ceph物件閘道器,多區域閘道器物件
- Modbus轉Profinet協議轉換閘道器:快速配置實踐指南協議
- Modbus轉Profinet閘道器接稱重裝置與工控機通訊
- 為什麼工控現場會用到Profinet轉Modbus閘道器裝置
- 智慧儀表透過Modbus轉Profinet閘道器與PLC通訊方案
- 閘道器GatewayGateway
- gateway 閘道器Gateway
- 什麼是閘道器?閘道器的作用是什麼,閘道器的作用詳解
- 變頻器透過Modbus轉Profinet閘道器連線電機與PLC通訊
- 深入分析四層/七層閘道器
- Profibus DP主站轉Modbus閘道器連線伺服與電機通訊
- 232Modbus轉Profinet閘道器接掃碼槍與PLC通訊
- PLC透過Modbus轉Profinet閘道器連線壓力計的配置方法
- API閘道器,企業級閘道器可擴充套件API套件
- Profinet轉Modbus閘道器運用在DCS系統中與變頻器的通訊案例
- API 閘道器 KongAPI
- 微服務閘道器微服務
- Zuul路由閘道器Zuul路由
- kong閘道器部署
- Ocelot閘道器(二)
- Ocelot閘道器(三)
- 300PLC連線Modbus轉Profibus閘道器與閥島modbusRTU通訊
- 工業除塵自動化中的Profibus轉Modbus閘道器應用解析
- 《springcloud 二》微服務動態閘道器,閘道器叢集SpringGCCloud微服務
- 小米智慧閘道器玩法介紹 小米閘道器怎麼用?
- Modbus協議轉Profibus協議閘道器模組連PLC與鐳射發射器通訊協議