Ewon Cosy+ alvo de XSS
12 de Agosto de 2024

Vulnerabilidades de segurança foram divulgadas na solução de acesso remoto industrial Ewon Cosy+ que poderia ser explorada para ganhar privilégios de root nos dispositivos e realizar ataques subsequentes.

O acesso elevado poderia ser utilizado para descriptografar arquivos de firmware criptografados e dados criptografados, como senhas em arquivos de configuração, e até mesmo obter certificados VPN X.509 assinados corretamente para dispositivos estrangeiros para assumir suas sessões VPN.

"Isso permite que os atacantes sequestrem sessões VPN, o que resulta em riscos de segurança significativos contra os usuários do Cosy+ e da infraestrutura industrial adjacente", disse o pesquisador de segurança da SySS GmbH, Moritz Abrell, em uma nova análise.

Os achados foram apresentados na conferência DEF CON 32 durante o fim de semana.

A arquitetura do Ewon Cosy+ envolve o uso de uma conexão VPN que é roteada para uma plataforma gerenciada pelo fornecedor chamada Talk2m via OpenVPN.

Técnicos podem se conectar remotamente ao gateway industrial por meio de um relay VPN que ocorre através do OpenVPN.

A empresa alemã de pentest disse que foi capaz de descobrir uma vulnerabilidade de injeção de comando no sistema operacional e um bypass de filtro que possibilitou obter um reverse shell ao fazer o upload de uma configuração OpenVPN especialmente elaborada.

Um atacante poderia subsequentemente tirar vantagem de uma vulnerabilidade de cross-site scripting (XSS) persistente e do fato de que o dispositivo armazena as credenciais codificadas em Base64 da sessão web atual em um cookie desprotegido chamado credentials para ganhar acesso administrativo e, por fim, fazer o root do dispositivo.

"Um atacante não autenticado pode ganhar acesso root ao Cosy+ combinando as vulnerabilidades encontradas e, por exemplo, esperando um usuário admin entrar no dispositivo", disse Abrell.

A cadeia de ataque poderia então ser estendida ainda mais para estabelecer persistência, acessar chaves de criptografia específicas do firmware e descriptografar o arquivo de atualização do firmware.

Além disso, uma chave codificada dentro do binário para criptografia de senha poderia ser aproveitada para extrair os segredos.

"A comunicação entre o Cosy+ e a API Talk2m é feita via HTTPS e protegida via autenticação TLS mútua (mTLS)", explicou Abrell.

Se um dispositivo Cosy+ é atribuído a uma conta Talk2m, o dispositivo gera uma solicitação de assinatura de certificado (CSR) contendo seu número de série como nome comum (CN) e a envia para a API Talk2m.

Este certificado, que pode ser acessado via a API Talk2m pelo dispositivo, é usado para autenticação OpenVPN.

No entanto, a SySS descobriu que a dependência exclusiva do número de série do dispositivo poderia ser explorada por um ator de ameaça para registrar seu próprio CSR com um número de série se um dispositivo alvo e iniciar com sucesso uma sessão VPN.

"A sessão VPN original será sobrescrita, e, portanto, o dispositivo original não é mais acessível", disse Abrell.

Se os usuários do Talk2m se conectarem ao dispositivo usando o software cliente VPN Ecatcher, eles serão direcionados para o atacante.

Isso permite que os atacantes conduzam mais ataques contra o cliente usado, por exemplo, acessando serviços de rede como RDP ou SMB do cliente vítima.

O fato de a conexão do túnel em si não ser restrita favorece esse ataque.

Uma vez que a comunicação de rede é direcionada para o atacante, a rede original e os sistemas poderiam ser imitados para interceptar a entrada do usuário da vítima, como os programas PLC carregados ou similares.

O desenvolvimento ocorre enquanto a Microsoft descobriu múltiplas falhas no OpenVPN que poderiam ser encadeadas para alcançar execução de código remoto (RCE) e elevação de privilégios locais (LPE).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...