plc4good.org.ua/view_post.php?id=102
Интересная статья Billy (BK) Rios
xs-sniper.com/blog/2011/12/20/the-siemens-simatic-remote-authentication-bypass-that-doesnt-exist/
Декабрь 20, 2011
Siemens SIMATIC Remote, обход аутентификации (которого не существует)
Пишет – Billy (BK) Rios
Я работал с CS-CERT и множеством заказчиков последний год, находил ошибки и ‘ответственно’ отчитался об около 1000 ошибках… все бесплатно в мое личное время. Вообщем, это был большой опыт. С большинством из заказчиков было здорово работать и ICS-CERT выполнил большую работу над ошибками, которые я предоставил им. В мае этого года, я сделал отчет про обход аутентификации для Siemens SIMATIC систем. Эти системы используются для обслуживания промышленных систем управления и ответственной инфраструктуры. Я тихо ждал исправлений по данному вопросу, который затрагивает большое количество заказчиков Siemens SIMATIC. Сегодня, я направил следующий вопрос в Siemens PR (Alex Machowetz) через репортера Reuters, о ситуации с ошибками о которых было написано:
“Я контактировал с нашими экспертами IT безопасности сегодня, которые знают Billy Rios…. Они сказали мне что нет открытых вопросов относительно ошибки обхода аутентификации в Siemens.”
Для всех поставщиков, пожалуйста используйте этот урок для того как НЕ надо реагировать на исследователей безопасности, которые бесплатно направляют вам информацию и тихо сидят полгода на удаленном обходе аутентификации вашего продукта.
Так как Siemens не имеет“открытых вопросов по ошибкам обхода аутентификации”, я полагаю будет нормально обсудить этот вопрос здесь, о котором мы заявили в мае. Либо Siemens просто откровенно лжет о наличии вопросов в безопасности которые могут быть использованы для нарушения в критических областях инфрастурктуры…. Но Siemens не будет лгать… поэтому я полагаю здесь нет обхода аутентификации.
Первое, пароль по умолчанию для Siemens SIMATIC – “100”. Есть три различных сервиса которые используются когда Siemens SIMATIC установлен, Web, VNC, и Telnet.
Параметры по умолчанию в Web интерфейсе – “Administrator:100” и сервис VNC только требует от пользователя ввести пароль “100” (без логина). Это как vector pr0f использовал для получения доступа в Южном Хьюстоне (но только он может быть в этом уверен).
Все сервисы располагают свои политики отдельно, поэтому изменение пароля на веб интерфейс не изменяет его на VNC (и наоборот). Я нашел МНОГО таких сервисов сканируя интернет… фактически вы можете найти множество здесь:
shodanhq.com/search?q=simatic+HMI
google.com/?#q=%22SIMATIC+HMI+Miniweb+on%22
Но ПОДОЖДИТЕ… здесь еще больше!
Если пользователь изменяет свой пароль на новый который включает специальные символы, пароль может автоматически сбросится в “100”. Да, вы правильно прочитали… Вы можете прочитать об этом внушительном решении разработчиков (и многих других решениях) в документации для пользователей Siemens.
Но ПОДОЖДИТЕ… здесь еще больше!
Я посмотрел что происходит когда Administrator заходит в Web HMI. При удачном логине, веб приложение возвращает сессионные куки, которые выглядят примерно так:
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTM3NzQ2OCoxNyo=
Это выглядит безопасно… правильно? Хорошо, я собрал сессии от нескольких удачных логинов и вот что увидел:
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTM3NzQ2OCoxNyo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTM5MzQ2OCoxOCo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQwOTQ4NCoxOSo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQyNTQ4NCoyMCo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQ0MTUwMCoyMSo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQ1NzUwMCoyMio=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQ3MzUxNSoyMyo=
EAAAAPiZE5314QWTlkMUFedwxt0qYWRtaW5pc3RyYXRvcioxMTQ4OTUxNSoyNCo=
Не очень случайные данные…. Если вы декодируете эти значения, вы увидите, что то наподобие этого:
*administrator*11377468*17*
*administrator*11393468*18*
*administrator*11409484*19*
*administrator*11425484*20*
*administrator*11441500*21*
*administrator*11457500*22*
*administrator*11473515*23*
*administrator*11489515*24*
Полностью предсказуемо. Для не специалистов… что может сделать кто-то с этой несуществующей ошибкой? Он может получить удаленный доступ к SIMATIC HMI которая запущена на системе управления или важной системой управления инфраструктурой без знания логина пользователя и пароля. Но не нужно волноваться, так как “нет открытых вопросов относительно ошибки обхода аутентификации в Siemens”
Следующий раз, Siemens должен подумать дважды, перед тем как говорить неправду в прессе об ошибках безопасности, которые могут вызывать значительные последствия.
Оцените статью!