[资讯](12.7)WAGO有17个型号的PFC200系列PLC容易受到远程攻击;Satori 僵尸网络苏醒,超过28万肉鸡开始蠢蠢欲动

哆啦咪 2017-12-7 10:08 311

WAGO有17个型号的PFC200系列PLC容易受到远程攻击

 

可编程逻辑控制器(PLC)支持着机器人、核能、石油、天然气的生产和运输以及许多其他工业任务的远程自动化。

 

PLC漏洞可能对生产过程和关键基础设施构成严重威胁,WAGO有17种型号的PFC200系列PLC容易受到远程攻击。

 

SEC Consult的安全研究人员在固件版本为02.07.07,CODESYS运行时2.4.7.0的PFC200 PLC上发现了一个漏洞。CODESYS运行时,通常包含在PLC中,为用户对PLC编程提供支持。

 

早在2012年,IOActive的安全研究人员Reid Wightman就发现了CODESYS运行时版本2.3.x和2.4.x中的漏洞,该漏洞允许对运行这些版本的PLC进行未经授权的远程管理。利用这个漏洞,攻击者可以执行特权操作并执行相当于重新编程设备的文件修改。CODESYS运行时3S的作者发布了一个补丁来解决这些漏洞,但供应商和用户需要在受影响的设备上手动打上这个补丁。

 

前不久,SEC Consult的安全研究人员在CODESYS运行时发现了另一个漏洞,即使在运行早期补丁的系统上也可以进行经过认证的远程访问。CODESYS运行时包含一个以CODESYS的root权限运行的“plclinux_rt”服务。根据SEC Consult研究人员的说法,攻击者可以通过发送特制的数据包来触发以下功能:

  • 任意文件读/写/删除(著名的“Digital Bond”工具集对此提供了支持)
  • 切换当前PLC中执行的函数
  • 循环执行当前PLC程中的任何函数
  • 删除当前PLC中的变量列表
  • 还有更多的功能...

这似乎足以干扰PLC的运行甚至注入新的PLC代码来执行远程攻击者希望的任何操作。

 

WAGO已经证实,750-88X系列的PFC2001 PLC和750-810X系列的PFC100 PLC不会受到攻击。

 

而有17款未公开具体版本信息的PLC受到漏洞影响。

 

临时的缓解措施包括禁用“plclinux_rt”服务,并将PLC物理隔离。但由于PLC对高可用性要求极高,大多数用户不太可能选择禁用该服务,因此多数的WAGO设备应该会被物理隔离。

 

然而,通过简单的Censys搜索显示,许多PFC200设备可以通过互联网直接访问(当然这个搜索不能确定这些PLC是否是易受攻击的版本)。

 

CODESYS运行时被许多供应商广泛部署,在过去几年中已经被曝出多个漏洞。这些漏洞可能有未知的更广泛的影响面。正如SEC Consult所警告的那样,“使用CODESYS 2.3.X/2.4.X运行时的任何供应商的设备都可能具有相同的漏洞。”

 

原文链接:http://securityaffairs.co/wordpress/66380/hacking/wago-pfc200-plc-flaw.html

 

本文由看雪翻译小组ljcnaix编译


Satori 僵尸网络苏醒,超过28万Bot僵尸病毒开始蠢蠢欲动

 

安全研究员发出警告:在过去12个小时,一种新型Satori僵尸网络正在超过28万个IP上十分活跃。

 

Satori,日语意为“苏醒”,是臭名昭著的Mirai IoT DDoS 恶意软件的一种变体。

 

Satori变体与Mirai不同,也与Mirai之前所有的变体都不同。

 

Mirai以前的变体会感染IoT设备,并下载一个远程登录扫描器配件,用来寻找可以感染的设备。

 

Satori并不会使用扫描器,而使用设备内的两个漏洞,通过37215 端口和52869端口来远程连接设备。

华为设备0day漏洞使危害增大

研究员观测到有263250个不同的IP在扫描37215端口,19403个IP扫描52869端口。在过去半天里,共有超过28万个肉鸡。

 

如此大规模的僵尸网络引人注意。其原因一大程度上归因于37215端口的0-day漏洞。

 

目前,该端口尚未被完全关闭。有专家认为,此僵尸网络利用了华为家庭网关路由器中的一个远程代码执行漏洞,这个漏洞曾在11月底被发现。目前,关于此漏洞的细节信息还很少。

 

 

另一个52869端口漏洞,这是一个Realtek设备的老漏洞,因此部分设备已打过补丁,逃此一劫。故此端口被感染的数量较前者少些。

Satori与前一Mirai变体有关

安全研究员指出Satori与上个月的一个位于阿根廷,并感染超过10万台机器的bots病毒有关。

 

目前尚不清楚这两个僵尸网络背后的操纵者是否为同一个人,但研究员称前一Mirai变体与本次僵尸网络共用文件名、数据特征和一些C2协议:

 

调查仍在进行中,公共蜜罐数据证实了实验室发出的报告

 

来源:https://www.bleepingcomputer.com/news/security/satori-botnet-has-sudden-awakening-with-over-280-000-active-bots/
本文由看雪翻译小组 哆啦咪 编译


TeamViewer 修复了一个权限相关的错误

0.jpg

 

TeamViewer 公司表示,他们在周二发布了一个补丁,用于修复通过共享桌面会话实现未授权控制其它计算机的情况。

 

这个错误是周一由 Reddit 用户 “xpl0yt” 首先公布的,并给出了漏洞的 PoC。 TeamViewer 证实了 bug 的存在,并在周二首先为 Windows 用户发布了补丁。

 

此外,这个错误还影响 TeamViewer 的 macOS 和 Linux 版本。该公司高级公关经理 Axel Schmidt 表示,这两个版本的补丁预计会在晚些时候发布。

 

Arbor Networks 安全研究员 TJ Nelson 和 ASERT 研究小组在分析过 PoC 后表示,这个错误允许攻击者在未经许可的情况下控制用户的会话。

 

“如果要在服务端进行利用,可以打开 “switch sides” 功能(通常需要客户端确认),并进行设置更改,从而实现客户端计算机的控制。如果在客户端进行利用,那么无论服务端的设置选项是什么,都可以实现服务端的控制。” Nelson 介绍说。

 

Gellin 在漏洞描述中写道,漏洞的起因是存在一个可以注入的 DLL,它通过 inline hook 和直接修改内存数据的方式来更改 TeamViewer 的权限。要实现漏洞的利用首先要求双方进行身份验证,然后攻击方通过 DLL 注入工具将 PoC 代码注入到自己的进程中。

 

一旦代码被注入到进程中,就会对内存中的数据进行更改,从而切换会话控制的选项,而之后服务端在授予访问权限前不会对此进行额外的检查。

 

同时 Gellin 还指出,如果攻击者获得了对目标计算机的未授权控制,那么受害者可以很容易通过结束会话来阻止该行为。不过,在未打补丁前,攻击者可以借助此 bug 让目标计算机的屏幕变暗,从而隐藏恶意的操作。

 

Schmidt 表示,对于那些设置了自动更新的 TeamViewer 用户,程序会自动安装补丁,没有设置的用户也将收到更新通知。

 

此外,Nelson 建议用户尽快安装补丁。他解释说:“通常情况下,在修复前这类错误会被广泛的利用。攻击者不再需要欺骗受害者运行恶意软件来实现对系统的控制,他们可以直接利用这个 bug 获取到访问权限。”

 

原文链接:https://threatpost.com/teamviewer-rushes-fix-for-permissions-bug/129096/

 

本文由看雪翻译小组 BDomne 编译

最新回复 (0)
返回