Vulnerabilidades de segurança foram divulgadas na solução de acesso remoto industrial Ewon Cosy+ que poderia ser explorada para ganhar privilégios de root nos dispositivos e realizar ataques subsequentes.
O acesso elevado poderia ser utilizado para descriptografar arquivos de firmware criptografados e dados criptografados, como senhas em arquivos de configuração, e até mesmo obter certificados VPN X.509 assinados corretamente para dispositivos estrangeiros para assumir suas sessões VPN.
"Isso permite que os atacantes sequestrem sessões VPN, o que resulta em riscos de segurança significativos contra os usuários do Cosy+ e da infraestrutura industrial adjacente", disse o pesquisador de segurança da SySS GmbH, Moritz Abrell, em uma nova análise.
Os achados foram apresentados na conferência DEF CON 32 durante o fim de semana.
A arquitetura do Ewon Cosy+ envolve o uso de uma conexão VPN que é roteada para uma plataforma gerenciada pelo fornecedor chamada Talk2m via OpenVPN.
Técnicos podem se conectar remotamente ao gateway industrial por meio de um relay VPN que ocorre através do OpenVPN.
A empresa alemã de pentest disse que foi capaz de descobrir uma vulnerabilidade de injeção de comando no sistema operacional e um bypass de filtro que possibilitou obter um reverse shell ao fazer o upload de uma configuração OpenVPN especialmente elaborada.
Um atacante poderia subsequentemente tirar vantagem de uma vulnerabilidade de cross-site scripting (XSS) persistente e do fato de que o dispositivo armazena as credenciais codificadas em Base64 da sessão web atual em um cookie desprotegido chamado credentials para ganhar acesso administrativo e, por fim, fazer o root do dispositivo.
"Um atacante não autenticado pode ganhar acesso root ao Cosy+ combinando as vulnerabilidades encontradas e, por exemplo, esperando um usuário admin entrar no dispositivo", disse Abrell.
A cadeia de ataque poderia então ser estendida ainda mais para estabelecer persistência, acessar chaves de criptografia específicas do firmware e descriptografar o arquivo de atualização do firmware.
Além disso, uma chave codificada dentro do binário para criptografia de senha poderia ser aproveitada para extrair os segredos.
"A comunicação entre o Cosy+ e a API Talk2m é feita via HTTPS e protegida via autenticação TLS mútua (mTLS)", explicou Abrell.
Se um dispositivo Cosy+ é atribuído a uma conta Talk2m, o dispositivo gera uma solicitação de assinatura de certificado (CSR) contendo seu número de série como nome comum (CN) e a envia para a API Talk2m.
Este certificado, que pode ser acessado via a API Talk2m pelo dispositivo, é usado para autenticação OpenVPN.
No entanto, a SySS descobriu que a dependência exclusiva do número de série do dispositivo poderia ser explorada por um ator de ameaça para registrar seu próprio CSR com um número de série se um dispositivo alvo e iniciar com sucesso uma sessão VPN.
"A sessão VPN original será sobrescrita, e, portanto, o dispositivo original não é mais acessível", disse Abrell.
Se os usuários do Talk2m se conectarem ao dispositivo usando o software cliente VPN Ecatcher, eles serão direcionados para o atacante.
Isso permite que os atacantes conduzam mais ataques contra o cliente usado, por exemplo, acessando serviços de rede como RDP ou SMB do cliente vítima.
O fato de a conexão do túnel em si não ser restrita favorece esse ataque.
Uma vez que a comunicação de rede é direcionada para o atacante, a rede original e os sistemas poderiam ser imitados para interceptar a entrada do usuário da vítima, como os programas PLC carregados ou similares.
O desenvolvimento ocorre enquanto a Microsoft descobriu múltiplas falhas no OpenVPN que poderiam ser encadeadas para alcançar execução de código remoto (RCE) e elevação de privilégios locais (LPE).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...