Problemy z kontami backdoor w urządzeniach przemysłowych

Na Kapitanie Hacku najczęściej piszemy o włamaniach w środowisku biurowym. Dajemy rady jak zabezpieczyć Windowsy. Opisujemy wektory ataków, które rozpoczynają się od osobistego komputera. Nawet w mniej technicznych postach opisujemy głównie ataki APT, grupy hackerskie ransomware, czy analizujemy malware na stacje robocze.

Oczywiście mamy świadomość innych zagrożeń. Między innymi tych związanych z niewłaściwym zabezpieczeniem Internetu rzeczy. Pisaliśmy o tym tutaj.

Mamy poczucie, że trochę zaniedbujemy nie tylko świat IOT, ale przede wszystkim urządzeń przemysłowych, a dzieje się tutaj sporo. Szczególnie jeśli chodzi o wbudowane, słabo zabezpieczone konta, które mogą stać się backdoorami. Na przykład Korenix poinformował 7 czerwca, że konto backdoora zostało usunięte poprzez aktualizację oprogramowania układowego. I nie byłoby w tej informacji nic wyjątkowego, gdyby nie fakt, że to sam producent je tam zostawił twierdząc, że jest potrzebne do obsługi klienta końcowego.

Istnienie konta backdoor, śledzonego jako CVE-2020-12501, zostało wykryte przez austriacką firmę konsultingową SEC Consult w 2020 r., ale zostało ono upublicznione na początku 2022 roku, po długim procesie ujawnienia, który zakończył się stwierdzeniem przez dostawcę, że konto nie zostanie usunięte. Jak wiemy już je usunęli, a o tym jak zgłaszać bug bounty i o problemach, na które napotykają badacze pisaliśmy ogólnie tutaj.

Konto, o którym mowa, mogło zostać wykorzystane przez atakującego w sieci, aby uzyskać dostęp do systemu operacyjnego urządzenia i uzyskać pełną kontrolę. Atakujący mógłby przekonfigurować urządzenie i prawdopodobnie uzyskać dostęp do innych systemów podłączonych do serwera.

Problem został zidentyfikowany w produkcie Korenix JetPort 5601V3, który jest przeznaczony do łączności w środowiskach przemysłowych. SEC Consult uważa, że inne produkty — w tym urządzenia przemysłowe marek Westermo i Comtrol — również mogą zostać dotknięte tą podatnością.

SEC Consult twierdzi, że konto backdoora ma to samo hasło na wszystkich urządzeniach, które jest przechowywane w oprogramowaniu. Gdy atakujący złamie hasło — hasło nie jest przechowywane w postaci zwykłego tekstu i musi zostać złamane — może zostać użyte do zaatakowania wszystkich urządzeń, których dotyczy problem. Ponadto hasło nie może być zmienione przez użytkownika.

SEC Consult przyznał, że nie mógł od razu złamać hasła, ale nie włożył w to zbyt wiele wysiłku. Hasz hasła nie został upubliczniony, ale można go było łatwo wyodrębnić z oprogramowania układowego.

To nie pierwszy raz, kiedy badacze znalazł zakodowane dane uwierzytelniające w urządzeniach JetPort. W 2012 r. ICS-CERT ostrzegł organizacje o poświadczeniach, które mogły zostać użyte w celu uzyskania dostępu administratora, ale ta luka została w pewnym momencie naprawiona za pomocą aktualizacji oprogramowania układowego.

Analitycy SEC Consult znani są z testowania urządzeń przemysłowych. To oni odkryli, że kamery termowizyjne nfiRay są narażone na luki, które mogą pozwolić hakerom na manipulowanie procesami przemysłowymi, w tym zakłócanie produkcji lub wprowadzanie modyfikacji, które mogą skutkować niższą jakością produktów.

InfiRay to marka chińskiej firmy iRay Technology, która produkuje komponenty optyczne. InfiRay specjalizuje się w opracowywaniu i produkcji rozwiązań termowizyjnych i termowizyjnych, a jej produkty są sprzedawane w 89 krajach.

Według SEC Consult przynajmniej jedna z kamer termowizyjnych producenta, model A8Z3, jest zagrożona kilkoma potencjalnie poważnymi lukami w zabezpieczeniach. Luki wykryte w przemysłowych kamerach termowizyjnych InfiRay

Urządzenie A8Z3, sprzedawane na Alibabie za prawie 3000 USD, jest przeznaczone do szerokiej gamy zastosowań przemysłowych.

Według SEC Consult, produkt jest dotknięty pięcioma rodzajami potencjalnie krytycznych luk w zabezpieczeniach. No i oczywiście jeden z problemów dotyczy zakodowanych na sztywno danych logowania do aplikacji internetowej aparatu. Ponieważ tych kont nie można dezaktywować, a ich haseł nie można zmienić, można je uznać za konta typu backdoor, które mogą zapewnić atakującemu dostęp do interfejsu sieciowego kamery. Stamtąd atakujący może wykorzystać kolejną lukę w zabezpieczeniach do wykonania dowolnego kodu.

Naukowcy odkryli również przepełnienie bufora w oprogramowaniu sprzętowym i wiele przestarzałych komponentów oprogramowania, o których wiadomo, że zawierają luki. Znaleźli także powłokę root Telnet, która domyślnie nie jest chroniona hasłem, co daje atakującemu w sieci lokalnej możliwość wykonywania dowolnych poleceń jako root w kamerze.

SEC Consult nie widział żadnej z tych kamer termowizyjnych wystawionych na działanie Internetu. Jednak osoba atakująca, która może uzyskać dostęp do urządzenia przez sieć, może wykorzystać te wady i spowodować poważne szkody.

„Kamera jest używana w środowiskach przemysłowych do sprawdzania/kontrolowania temperatur. Urządzenie testowe znajdowało się w fabryce, gdzie zweryfikowano, że metalowe elementy przychodzące na taśmę przenośnika są nadal wystarczająco gorące do następnego etapu procesu” – wyjaśnił Steffen Robertz, konsultant ds. bezpieczeństwa SEC Consult, specjalizujący się w systemach wbudowanych.

„Atakujący byłby w stanie zgłosić nieprawidłowe temperatury, a tym samym stworzyć gorsze produkty lub zatrzymać produkcję” – powiedział Robertz.

Podobnie jak w przypadku backdoora w urządzeniach Korenix, SEC Consult poinformował o swoich ustaleniach Producenta, ale firma nie odpowiedziała. Dlatego Badacze upublicznili pewne szczegóły techniczne, ale nie opublikowali exploitów typu „proof-of-concept” (PoC).

Autor: Kapitan Hack Data dodania: 13 cze 2022 09:21 6 min czytania

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...