Krytyczna podatność over-the-air w przemysłowych access pointach firmy EKI

Nozomi Networks Labs przeprowadziło analizę wersji 1.6.2 bezprzewodowego punktu dostępowego klasy przemysłowej EKI-6333AC-2G. Dzięki odporności na środowisko w trudnych warunkach urządzenie to jest wykorzystywane w różnych sektorach, od linii montażowych w fabrykach samochodów po operacje magazynowe i dystrybucyjne w logistyce. Analiza zidentyfikowała 20 podatności w zabezpieczeniach, z których każda ma przypisany unikalny identyfikator CVE. Luki te stwarzają znaczne ryzyko, umożliwiając nieuwierzytelnione zdalne wykonywanie kodu z uprawnieniami roota, co całkowicie naraża poufność, integralność i dostępność dotkniętych nimi urządzeń!

Po przeprowadzeniu selekcji i potwierdzeniu tych problemów, Advantech wydał wersję 1.6.5 swojego firmware poprawiające bezpieczeństwo urządzeń EKI-6333AC-2G i EKI-6333AC-2GD oraz wersję firmware 1.2.2 dla urządzeń EKI-6333AC-1GPO. Dzięki odpowiedzialnemu procesowi ujawniania informacji koordynowanemu z Advantech potwierdzono również, że urządzenia EKI-6333AC-2GD i EKI-6333AC-1GPO są dotknięte tymi samymi lukami ze względu na współdzielony kod oprogramowania układowego.

Czego dotyczy odkrycie?

EKI-6333AC-2G firmy Advantech to bezprzewodowy punkt dostępowy klasy przemysłowej zaprojektowany do trudnych warunków, zapewniający stabilną dwupasmową łączność Wi-Fi. Jest on szczególnie odpowiedni do zastosowań o znaczeniu krytycznym w środowiskach przemysłowych, takich jak produkcja, energetyka i infrastruktura publiczna, gdzie trwałość i bezpieczne połączenia są niezbędne. Przykład wykorzystania takich urządzeń bezprzewodowych został szczegółowo opisany w studium przypadku firmy Advantech, wyjaśniającym, w jaki sposób producentowi pojazdów elektrycznych udało się zautomatyzować linię produkcyjną akumulatorów, wykorzystując pojazdy szynowe (RGV) z obsługą Wi-Fi. Aby to osiągnąć, zastosowano rozwiązania EKI-6333AC-2G i EKI-1361 firmy Advantech do nawigacji RGV w złożonych układach produkcyjnych, w których mogą wystąpić potencjalne zakłócenia i gdzie płynna kontrola w czasie rzeczywistym i komunikacja są nieodzowne ze względów bezpieczeństwa.

Analiza podatności koncentrowała się na kluczowych obszarach operacyjnych EKI-6333AC-2G, w tym protokołach łączności, obsłudze danych i mechanizmach bezpieczeństwa, które są krytyczne dla zapewnienia nieprzerwanej, bezpiecznej komunikacji w środowiskach przemysłowych. Obszary te stanowią potencjalne punkty wejścia dla podmiotów stanowiących zagrożenie zarówno na poziomie przewodowym, jak i w spektrum bezprzewodowym.

Opis podatności

Kilka z opisywanych podatności zostało ocenionych jako krytyczne – wzięto pod uwagę, że mogą one ostatecznie doprowadzić do zdalnego wykonania kodu (RCE) z uprawnieniami roota na urządzeniu. Pozwoliłoby to atakującemu na naruszenie poufności, integralności i dostępności urządzenia. Zidentyfikowano dwa możliwe wektory ataku:

• ‍Wektor ataku 1 (LAN/WAN): w sytuacjach, gdy atakujący może bezpośrednio wchodzić w interakcję z punktem dostępu przez sieć, jest on w stanie wykorzystać te luki, tworząc złośliwe żądania skierowane do podatnej usługi.‍
• Wektor ataku 2 (Over-the-Air): atak ma miejsce przez sieć bezprzewodową, w której atakujący nie musi być podłączony do sieci przewodowej (LAN/WAN) ani bezprzewodowej (WLAN). Może wykorzystać pasmo bezprzewodowe do wykonania kodu na urządzeniu, po prostu znajdując się w jego fizycznej bliskości.

Biorąc pod uwagę najwyższe poziomy krytyczności, złośliwy użytkownik może osiągnąć następujące rezultaty:

• ‍Trwały dostęp do zasobów wewnętrznych. Po wykonaniu kodu na urządzeniu złośliwi użytkownicy mogą stworzyć tylną furtkę, aby utrzymać trwały dostęp. Taka konfiguracja może umożliwić scenariusze, w których początkowy dostęp jest uzyskiwany poprzez infekcję złośliwym oprogramowaniem (np. za pośrednictwem poczty e-mail), a trwałość jest ustanawiana poprzez naruszenie bezpieczeństwa urządzenia Advantech.‍
• Odmowa usługi (DoS). W scenariuszach, w których podatny na ataki punkt dostępu służy jako sieć szkieletowa do kontrolowania bezprzewodowych RGV poruszających się po złożonych układach produkcyjnych – możliwość manipulacji tymi krytycznymi punktami dostępu może znacznie zakłócić procesy automatyzacji na liniach produkcyjnych.‍
• Ruch boczny. Uzyskanie uprawnień roota na urządzeniu umożliwia atakującemu ponowne wykorzystanie punktu dostępu jako w pełni funkcjonalnej stacji roboczej Linux, zapewniając nowy punkt zaczepienia do dalszej eksploracji i penetracji sieci. Można to osiągnąć na przykład poprzez przeprowadzanie ataków typu Man-in-the-Middle w celu przechwycenia danych uwierzytelniających przesyłanych za pośrednictwem niezaszyfrowanych protokołów lub poprzez wykorzystanie znanych luk w zabezpieczeniach niezałatanych urządzeń za pomocą publicznie dostępnych exploitów.

Podsumowanie

Podatności zaraz po odkryciu zostały odpowiednio zaadresowane przez producenta i po aktualizacji firmware do poniższych wersji zostają załatane:

• EKI-6333AC-2G: v1.6.5
• EKI-6333AC-2GD: v1.6.5
• EKI-6333AC-1GPO: v1.2.2

Szczegółowy opis wszystkich wykrytych CVE znajdziemy w tym artykule.