本文主要是介绍Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
020年1月,在S4会议上举行了首届Pwn2Own Miami比赛,目标是工业控制系统(ICS)产品。在比赛中,佩德罗·里贝罗(Pedro Ribeiro)和拉德克·多曼斯基(Radek Domanski)的团队使用了信息泄漏和反序列化漏洞,以在Inductive Automation Ignition 系统上执行代码。他们在比赛第一天赢得了25,000美元。现在可以从供应商处获得补丁程序,他们已经分享了以下漏洞利用代码和演示视频。
这篇文章描述了Pedro Ribeiro(@ pedrib1337)和Radek Domanski(@RabbitPro)发现的一系列Java漏洞。这些漏洞已在一月份在ZDI的Pwn2Own Miami 2020比赛中使用。所描述的漏洞存在于8.0.0版(含8.0.7)及更高版本的Inductive Automation Ignition SCADA产品中。该漏洞最近由供应商发布了补丁,该供应商建议用户升级到8.0.10版本。以下是这些漏洞的验证视频:
https://youtu.be/CuOancRm1fg
Automation Ignition 的默认配置可供未经身份验证的攻击者利用,成功的利用将实现Windows上的SYSTEM或Linux上的root的远程代码执行。
该漏洞利用链上的三个漏洞来实现代码执行:
1.未经授权访问敏感资源。 2.不安全的Java反序列化。 3.使用不安全的Java库。
该博客中的所有代码段都是通过反编译8.0.7版中的JAR文件获得的。
0x01 漏洞详情
在深入研究漏洞之前,让我们介绍一下有关Automation Ignition 和/system/gateway端点的背景信息。Automation Ignition 侦听大量的TCP和UDP端口,因为除了其主要功能外,奇热它还必须处理多种SCADA协议。
主要端口是TCP 8088和TCP / TLS 8043,它们用于通过HTTP(S)控制管理服务器并处理各种Ignition组件之间的通信。
有多个API端点正在侦听该端口,但我们关注的是在/system/gateway。该API端点允许用户执行远程功能调用。未经身份验证的用户只能调用少数几个。该Login.designer()函数是其中之一。它使用包含序列化Java对象的XML与客户端进行通信。它的代码位于com.inductiveautomation.ignition.gateway.servlets.Gateway类中。
通常,使用序列化的Java对象执行客户端-服务器通信可以导致直接执行代码,但是在这种情况下,并不是那么简单。在深入探讨之前,让我们看一下Login.designer()请求的数据信息:
响应包:
请求和响应包含序列化的Java对象,这些对象传递给可以远程调用的函数。上面的示例显示了对带有四个参数designer()的com.inductiveautomation.ignition.gateway.servlets.gateway.functions.Login类的函数的调用。
调用堆栈Login.designer()如下:
com.inductiveautomation.ignition.gateway.servlets.Gateway.doPost()` `com.inductiveautomation.ignition.gateway.servlets.gateway.AbstractGatewayFunction.invoke()` `com.inductiveautomation.ignition.gateway.servlets.gateway.functions.Login.designer()
该Gateway.doPost()服务程序执行一些版本和完整性检查然后将请求发送到AbstractGatewayFunction.invoke(),其分析和验证它之前调用Login.designer(),如下图所示:
public final void invoke(GatewayContext context, PrintWriter out, ClientReqSession session, String projectName, Message msg) {
String funcName = msg.getArg("subFunction");
AbstractGatewayFunction.SubFunction function = null;
if (Ty
这篇关于Pwn2own Miami:通过漏洞利用链实现对Ignition工控系统的代码执行的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
