أداة الوصول عن بعد الصناعية Ewon Cosy+ عرضة لهجمات الوصول إلى الجذر

12 أغسطس 2024رافي لاكشمانانتكنولوجيا التشغيل / أمن الشبكات

تم الكشف عن ثغرات أمنية في حل الوصول عن بعد الصناعي Ewon Cosy+ والذي يمكن إساءة استخدامه للحصول على امتيازات الجذر للأجهزة وتنفيذ هجمات المتابعة.

يمكن بعد ذلك استخدام الوصول المرتفع كسلاح لفك تشفير ملفات البرامج الثابتة المشفرة والبيانات المشفرة مثل كلمات المرور في ملفات التكوين، وحتى الحصول على شهادات X.509 VPN موقعة بشكل صحيح للأجهزة الأجنبية لتتولى جلسات VPN الخاصة بها.

“يسمح هذا للمهاجمين باختطاف جلسات VPN مما يؤدي إلى مخاطر أمنية كبيرة ضد مستخدمي Cosy+ والبنية التحتية الصناعية المجاورة،” الباحث الأمني ​​في SySS GmbH موريتز أبريل قال في تحليل جديد.

وكانت النتائج قدم في مؤتمر DEF CON 32 خلال عطلة نهاية الأسبوع.

تتضمن بنية Ewon Cosy+ استخدام اتصال VPN يتم توجيهه إلى منصة يديرها البائع تسمى Talk2m عبر OpenVPN. يمكن للفنيين الاتصال عن بعد بالبوابة الصناعية عن طريق ترحيل VPN الذي يحدث من خلال OpenVPN.

قالت شركة pentest ومقرها ألمانيا إنها تمكنت من الكشف عن ثغرة أمنية في حقن أوامر نظام التشغيل وتجاوز المرشح الذي جعل من الممكن الحصول على غلاف عكسي عن طريق تحميل تكوين OpenVPN معد خصيصًا.

كان من الممكن أن يستفيد أحد المهاجمين لاحقًا من ثغرة أمنية في البرمجة النصية المستمرة عبر المواقع (XSS) وحقيقة أن الجهاز يخزن بيانات الاعتماد المشفرة Base64 لجلسة الويب الحالية في بيانات اعتماد غير محمية تسمى ملفات تعريف الارتباط للحصول على حق الوصول الإداري وتجذيرها في النهاية. .

قال Abrell: “يمكن للمهاجم غير المصادق عليه الوصول إلى الجذر إلى Cosy + من خلال الجمع بين الثغرات الأمنية التي تم العثور عليها وانتظار قيام مستخدم إداري بتسجيل الدخول إلى الجهاز على سبيل المثال”.

يمكن بعد ذلك توسيع سلسلة الهجوم بشكل أكبر لإعداد الثبات والوصول إلى مفاتيح التشفير الخاصة بالبرامج الثابتة وفك تشفير ملف تحديث البرامج الثابتة. علاوة على ذلك، يمكن الاستفادة من المفتاح المشفر والمخزن داخل الملف الثنائي لتشفير كلمة المرور لاستخراج الأسرار.

وأوضح أبريل: “يتم الاتصال بين Cosy+ وTalk2m API عبر HTTPS ويتم تأمينه عبر مصادقة TLS (mTLS) المتبادلة”. “إذا تم تعيين جهاز Cosy+ لحساب Talk2m، فسيقوم الجهاز بإنشاء طلب توقيع شهادة (CSR) يحتوي على رقمه التسلسلي كاسم شائع (CN) ويرسله إلى Talk2m API.”

يتم استخدام هذه الشهادة، التي يمكن الوصول إليها عبر Talk2m API بواسطة الجهاز، لمصادقة OpenVPN. ومع ذلك، وجدت SySS أن الاعتماد الوحيد على الرقم التسلسلي للجهاز يمكن استغلاله من قبل جهة تهديد لتسجيل المسؤولية الاجتماعية للشركات الخاصة بها برقم تسلسلي إذا كان الجهاز مستهدفًا وبدء جلسة VPN بنجاح.

وقال أبريل: “ستتم الكتابة فوق جلسة VPN الأصلية، وبالتالي لن يكون من الممكن الوصول إلى الجهاز الأصلي بعد الآن”. “إذا اتصل مستخدمو Talk2m بالجهاز باستخدام برنامج عميل VPN Ecatcher، فسيتم إعادة توجيههم إلى المهاجم.”

“يسمح هذا للمهاجمين بتنفيذ المزيد من الهجمات ضد العميل المستخدم، على سبيل المثال الوصول إلى خدمات الشبكة مثل RDP أو SMB للعميل الضحية. وحقيقة أن اتصال النفق نفسه غير مقيد يشجع هذا الهجوم.”

“نظرًا لإعادة توجيه اتصالات الشبكة إلى المهاجم، يمكن تقليد الشبكة والأنظمة الأصلية من أجل اعتراض مدخلات المستخدم الضحية مثل برامج PLC التي تم تحميلها أو ما شابه ذلك.”

يأتي هذا التطوير في الوقت الذي كشفت فيه Microsoft عن عيوب متعددة في OpenVPN والتي يمكن ربطها لتحقيق تنفيذ التعليمات البرمجية عن بعد (RCE) وتصعيد الامتيازات المحلية (LPE).