“震网”病毒或回归?施耐德电气软件被曝类似漏洞
研究人员又从施耐德电气软件中发现了一个漏洞,它类似于臭名昭著的“震网”病毒 (Stuxnet) 恶意软件曾利用的漏洞。
十多年前,美国和以色列被指利用“震网”病毒损害伊朗的核计划,目标是西门子的 SIMATIC S7-300 和 S7-400 可编程逻辑控制器 (PLCs)。这款恶意软件通过替换将与西门子 STEP7 控制器编程软件相关联的一个 DLL 文件,将恶意代码加载到目标 PLCs 上。
CVE-2020-7457
3月份,Airbus 网络安全公司报道称从施耐德电气的 EcoStruxure ControlExpert 工程软件(此前名为 Unity Pro)中发现了一个类似漏洞 CVE-2020-7475,它可通过替换与该工程软件相关联的其中一个 DLL 文件,将恶意代码上传到 Modicon M340 和 M580 PLCs 总,从而造成进程破坏和其它损害。
网络安全公司 Trustwave 的研究人员本周四表示,他们也从施耐德软件 EcoStruxure MachineExpert (此前名为 SoMachine)中发现了一个类似漏洞,可导致用户在 Modicon M221 控制器上开发项目。该漏洞为 CVE-2020-7489,它的详情几乎和施耐德在安全公告中提到的 CVE-2020-7475 一样,CVSS 评分同样为8.2,均为高危漏洞。
施耐德电气发布补丁,修复了这两个漏洞,但和CVE-2020-7457 相关的安全公告指出,其它厂商的产品可能也易遭此类攻击。
Trustwave SpiderLabs 的资深研究经理 Karl Sigler 指出,利用 CVE-2020-7489 要求访问托管着 SoMachine 软件和目标 PLC 的环境。Sigler 解释称,“对于 SoMachine DLL 注入漏洞 (CVE-2020-7489) 而言,攻击者需要使用授权运行软件的本地用户的同样的用上下文执行注入。除非安装了 SoMachine 并为管理员账户锁定,那么管理员权限是没必要的。虽然这些系统可能是气隙系统,但从震网病毒的情况来看,它也并非利用的障碍。”
CVE-2017-6034
Trustwave 公司的研究员也发现了和影响施耐德电气软件相关的一个旧漏洞的情况。
2017年,施耐德电气告知客户称,严重漏洞 CVE-2017-6034 可导致黑客使用中继攻击向某 PLC 发送 run、stop、upload 和 download 命令。Trustwave 公司的研究员去年发现,利用 EcoStruxure MachineExpert 和 PLC 之间的现有会话仍然可发动攻击。为此,施耐德电气在2019年8月更新了原始的安全公告。
Sigler 解释称,“原来的 CVE-2017-6034 漏洞可造成包抓取和 PLC 中继后果。例如,被发送至 PLC 的具有 ‘Stop’ 命令的包可被攻击者中继随时停止 PLC。虽然这个中继漏洞在2017年已修复,但 Trustwave 公司发现只要攻击者紧跟控制软件和 PLC 之间现有会话之上,则仍然可发动攻击。换言之,虽然这个包中继漏洞已修复,但只要滥用 PLC,仍然可以发动中间人攻击。”
https://www.securityweek.com/another-stuxnet-style-vulnerability-found-schneider-electric-software
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。