漏洞概述

近期，啟明星辰ADLab在工業控制漏洞監控中發現工控廠商Moxa的Modbus閘道器存在高危漏洞(CVE-2021-4161)，ICS-CERT的評分高達9.8。針對該高危漏洞，ADLab研究員第一時間進行了詳細分析和驗證。

基本資訊

根據ICS-CERT的漏洞公告，該漏洞基本資訊如下：

l  受影響的裝置：MGate MB3180/MB3280/MB3480 Series Protocol Gateways

l  受影響的版本：

n  MGate MB3180 Series: Firmware Version 2.2 or lower

n  MGate MB3280 Series: Firmware Version 4.1 or lower

n  MGate MB3480 Series: Firmware Version 3.2 or lower

l  漏洞可利用性：遠端、低複雜度

l  CVSS v3評分:  9.8

漏洞描述

根據ICS-CERT漏洞公告的描述，該漏洞型別屬於敏感資訊明文傳輸。受影響裝置的韌體存在漏洞，攻擊者可以透過嗅探網路流量來竊取和解密裝置登入憑據的詳細資訊，從而獲得對目標裝置http web server的admin許可權。

圖 1、ICS-CERT Advisory中對漏洞的描述

該漏洞的CVSS3特徵為(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。如圖2所示，ICS-CERT認為該漏洞可遠端利用，同時對完整性（Integrity）和可用性（Availability）的影響均為“High”。

圖 2、ICS-CERT 對CVE-2021-4161的CVSS(3.0)評分

從前面的漏洞描述可知，該漏洞是一個不安全的憑據傳輸導致憑據洩露的漏洞。那麼，為何ICS-CERT認為這樣一個漏洞其對完整性和可用性的影響為“High”呢。帶著這個疑惑，我們在MGate MB3180裝置上對該漏洞進行了分析和驗證。

漏洞分析

根據ICS-CERT對漏洞的描述，我們一開始猜測該系列裝置的web登入採用了Basic認證。Basic認證是低效能裝置web server所常用的方法，其幾乎沒有安全性，直接透過base64解碼登入流量的認證資訊即可獲得使用者名稱密碼。

按照上述思路，我們對MB3180的登入流量進行了分析，如圖3所示。MB3180的Web認證並沒有採用Basic認證方式。

圖 3、MB3180 Web登入POST請求

繼續對登入請求進行分析，發現請求中的表單資料包含了“account”、“password”等欄位資訊。如圖4所示：

圖 4、MB3180 Web登入POST請求表單資料（使用者名稱admin,密碼1234567）

觀察表單中的資料可知，account和password沒有常見雜湊運算的特徵。多次登入的表單資料如下所示：

表 1、使用不同使用者名稱密碼登入的POST表單部分資料記錄

從上表資料還可以發現如下特徵：

l  account和password和輸入長度是相關的；

l  account和password和FakeChallenge是相關的。

後續對登入頁面的原始碼分析找到了上述特徵。在登入頁的js程式碼中，setInfo函式負責生成登入資訊並以表單方式提交，如下所示：

圖 5、MB3180的setInfo函式

       顯然，登入資料的安全性取決於函式SetSHA256，其程式碼如下所示：

圖 6、MB3180的SetSHA256函式

分析SetSHA256函式的邏輯可知，該函式並沒有真正實現SHA256的功能，而是使用了異或方式來處理輸入資料。具體來講，SetSHA256函式的返回值是xor(m,n)之後的結果，而m來源於account/password，n則來源於FakeChallenge。顯而易見，在FakeChallenge被洩露的前提下，account/password是可還原的。

至此，該漏洞的原理就基本清晰了。MB3180在處理登入頁面的使用者名稱和密碼加密時，未正確實現SHA256的運算，同時web server預設使用http協議。因此，在可嗅探到該裝置登入的http報文時，便可透過解密表單資料來得到登入的使用者名稱和密碼。

漏洞驗證

根據上述漏洞分析結果，我們編寫了解密指令碼對該漏洞進行了驗證。為簡化驗證過程，我們直接使用Wireshark抓取了登入MB3180 Web Server的http流量，然後編寫指令碼對該流量進行分析並解密。

在抓包過程中，我們進行了兩次登入，使用者名稱均為admin，密碼則使用了一個錯誤的密碼（admin）和一個正確的密碼（moxa）。

圖 7、使用admin\admin登入的表單資料

圖 8、使用admin\moxa登入的表單資料

驗證結果如圖9所示，可從登入流量解密得到使用者名稱和密碼資訊：

圖 9、解密指令碼驗證

漏洞危害

       在工業控制環境中，有大量的裝置並不具備TCP/IP協議棧，要把這些裝置接入基於IT技術的數字化網路就需要藉助協議轉換閘道器來完成。MGate MB系列Modbus閘道器裝置的功能即是把RS485類的工業裝置接入到TCP/IP網路。這類閘道器裝置漏洞的危害通常不僅僅影響該裝置自身，更直接影響其背後支撐的現場裝置。因此，NVD對該漏洞給出了兩種CVSS3評分，如下所示。

圖 10、NVD和ICS-CERT評分割槽別

其中，NVD基於NIST的視角給出了7.5分，而ICS-CERT基於工業視角給出了9.8高分。這兩種評分的差別就在於：從IT角度看，該漏洞不能修改該裝置的底層資料，也不能使裝置停止執行，因此不影響該裝置的完整性和可用性；但從工業角度看，透過該漏洞獲得管理員賬號後可以修改閘道器的配置，進而使得該裝置支撐的工業控制業務發生變更甚至是停止，所以影響了工業控制業務的完整性和可用性。

可見，同樣型別的網路安全漏洞，其在工業控制系統領域的影響和危害通常要高於傳統IT業務領域。因此，在處理工業控制系統網路安全漏洞時，需要考慮到工控業務環境的特殊性，結合對工控業務的影響來綜合評判漏洞的危害才能更加客觀真實的反映漏洞的影響力。

修復建議

目前，官方未釋出該漏洞的修復補丁，但提供了漏洞緩解建議：

Ø  建議將受影響裝置的Web Server訪問的協議設定為https，避免明文傳輸表單資料；

Ø  建議參照Moxa Security Hardening Guide for MGate MB3000 Series中的方式部署裝置。

此外，針對工業控制系統，CISA提供瞭如下的通用建議：

Ø  儘量減少在公網暴露工控裝置或者系統；

Ø  將控制系統網路和遠端裝置置於防火牆之後，並和辦公網路隔離；

Ø  當需要遠端訪問時，採用型別VPN的安全訪問方式。

參考連結

[1]．ICS Advisory (ICSA-21-357-01): Moxa MGate Protocol Gateways https://www.cisa.gov/uscert/ics/advisories/icsa-21-357-01

        [2]．CVE-2021-4161 NVD Details    

        https://nvd.nist.gov/vuln/detail/CVE-2021-4161

        [3]．Tech Note: Moxa Security Hardening Guide for MGate MB3000 Series

  https://cdn-cms.azureedge.net/getmedia/6461a6a5-8b9d-4c83-8fcf-4d163c51f933/moxa-the-security-hardening-guide-for-the-mgate-mb3000- series-tech-note-v1.0.pdf

        [4]．Common Vulnerability Scoring System v3.0: Specification Document

  https://www.first.org/cvss/v3.0/specification-document

啟明星辰積極防禦實驗室（ADLab）

ADLab成立於1999年，是中國安全行業最早成立的攻防技術研究實驗室之一，微軟MAPP計劃核心成員，“黑雀攻擊”概念首推者。截止目前，ADLab已透過CVE累計釋出安全漏洞近1100個，透過 CNVD/CNNVD累計釋出安全漏洞2000餘個，持續保持國際網路安全領域一流水準。實驗室研究方向涵蓋作業系統與應用系統安全研究、移動智慧終端安全研究、物聯網智慧裝置安全研究、Web安全研究、工控系統安全研究、雲安全研究。研究成果應用於產品核心技術研究、國家重點科技專案攻關、專業安全服務等。