罗克韦尔自动化EDS子系统漏洞分析 – 作者:北京天地和兴科技有限公司

　　摘要

　　罗克韦尔自动化公司最近发布了安全公告和补丁信息，用以修复其产品中使用的电子数据表(EDS)子系统相关的两个漏洞(CVE-2020-12038和CVE-2020-12034)。该组漏洞首先由工业网络安全公司Claroty发现，成功利用漏洞可使恶意行为者在目标组织的OT网络中扩展其访问权限。Claroty的研究人员验证发现，攻击者可以创建特殊的EDS文件，使他们能够引起拒绝服务(DoS)攻击或SQL注入攻击，从而在系统上写入或操作文件。根据罗克韦尔自动化公司的说法，安全漏洞会影响FactoryTalk Linx(以前称为RSLinx Enterprise)，RSLinx Classic，RSNetWorx和Studio 5000 Logix Designer等产品。

　　罗克韦尔自动化有限公司是全球最大的致力于工业自动化与信息的公司，致力于帮助客户提高生产力，以及世界可持续发展。罗克韦尔自动化总部位于美国威斯康星州密尔沃基市，在80多个国家设有分支机构，现有雇员约22,000人。罗克韦尔自动化在中国设有众多个销售机构以及研发中心、开发中心、培训中心、生产基地等。

　　1、背景介绍

　　近日，工业网络安全公司Claroty研究副总裁Amir Preminger和首席漏洞研究员Sharon Brizinov发现了罗克韦尔产品使用的电子数据表(EDS)子系统中的两个安全漏洞，编号为CVE-2020-12038和CVE-2020-12034。

　　罗克韦尔自动化有限公司(NYSE: ROK)是全球最大的致力于工业自动化与信息化的公司之一，其使命是帮助客户提高生产力并且推动世界的可持续发展。主要产品包括工业控制产品、工业网络产品、工业传感器、制造执行系统、安全控制系统、安全元器件、可编程控制器、HMI、分布式控制系统、变频器系统等，覆盖发电、石油和天然气、印刷出版、造纸、船舶、采矿冶金、化学、纺织、汽车和轮胎等多个行业。罗克韦尔自动化总部位于美国威斯康星州密尔沃基市，在80多个国家设有分支机构，现有雇员约22,000人。罗克韦尔自动化在中国设有37个销售机构(包括香港和台湾地区)，5个培训中心，1个位于上海的全球研发中心，大连软件开发中心，位于深圳、上海和北京OEM应用开发中心，位于上海和哈尔滨的三个生产基地。

　　EDS文件是网络配置工具使用的简单文本文件，可帮助用户识别产品并在网络上轻松调试它们。EDS文件提供访问和改变设备可配置参数的所有必要信息。当使用EDS时，供货商可以将产品的特殊信息提供给其它供货商。EDS本身也是一种通用的规范，在配置系统网络的过程中，如果缺少相应的EDS文件，可能导致硬件设备无法识别或无法正常运行。EDS文件可以通过罗克韦尔的EDS Installation Tool进行安装。CANopen设备的功能及特性以电子数据单(EDS)的形式描述，EDS采用ASCII格式，可以将EDS理解成某种形式的表格。

　　2、漏洞概述

　　2.1 漏洞描述

　　本次披露的两个漏洞基本信息如下：

　　l 对内存缓冲区范围内操作的不当限制(CVE-2020-12038)：攻击者可以制作专门的EDS文件以使EDSParser COM对象崩溃，导致拒绝服务攻击。

　　

　　l SQL命令中特殊元素的不正确中和“ SQL注入”(CVE-2020-12034)：由于EDS子系统没有提供足够的输入清理功能，攻击者可能被允许制作专门的EDS文件以注入SQL查询并操纵SQL Server(存储EDS文件的数据库)。结果，攻击者可能能够进行拒绝服务攻击或操纵SQL引擎在系统上写入或修改文件。

　　

　　2.2 漏洞利用版本

　　以下EDS子系统的产品(版本28.0.1及更低)受到影响：

　

　　3、漏洞原理及复现

　　3.1 漏洞原理

　　攻击者能够创建一个恶意的EDS文件，该文件被罗克韦尔自动化软件解析后，将Windows批处理文件写入任意路径(可能包括启动目录)。然后通过模拟网络内设备将恶意的EDS文件呈现给EDS子系统一种攻击策略，有时也称为反向蜜罐。重新启动后，恶意代码在目标设备上执行。

　　3.2 漏洞复现

　　EDS文件是网络配置工具使用的简单文本文件，可帮助识别产品并在网络上轻松调试它们。当罗克韦尔自动化软件(例如RSLinx)连接到新型设备时，它将读取并解析设备的EDS，以确定设备的类型和其他属性，从而使软件能够与设备进行适当的通信。

　　解析恶意EDS文件时，会将文件写入目标设备上的磁盘

　　正常的非恶意EDS文件示例

　　发现的漏洞可以远程利用，但只能从本地网络内部利用。通过将自己的设备连接或通过Python模拟设备到车间网络并成功模拟新的网络内设备，攻击者可以向目标网络中提供恶意的EDS文件。

　　在这种情况下，罗克韦尔自动化的网络发现工具可能会遇到攻击者的假冒设备，并要求其提供恶意的EDS文件。在读取和解析EDS文件后，将触发该漏洞，并将新文件写入Rockwell Automation工程工作站或HMI的磁盘。这样，攻击会将他们在受害者网络中的立足点扩展到罗克韦尔自动化设备，实现由IT向OT的横向移动。

　　

　　Claroty研究人员发现的攻击矢量图

　　4、漏洞危害及防护建议

　　4.1 漏洞危害

　　l SQL注入：攻击者可以制作专门的EDS文件来注入SQL查询并操纵存储EDS文件的数据库，导致拒绝服务攻击或者使攻击者能够操纵SQL引擎在系统上写入或修改文件;

　　l 拒绝服务供给：攻击者可以制作专门的EDS文件以使EDSParser COM对象崩溃，从而导致拒绝服务攻击。

　　4.2防护建议

　　厂商罗克韦尔自动化建议以下内容：

　　1. 补丁连接https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1125928(需要注册)

　　在安装此补丁之前，必须首先安装FactoryTalk Services补丁，在所有安装了EDS子系统的计算机上都需要此补丁。注意：要正确安装此修补程序，用户登录名必须具有完整的管理特权。

　　补丁文件: https ://download.rockwellautomation.com/esd/download.aspx?downloadid=RAid1125928

　　补丁安装

　　l 关闭目标计算机上的所有应用程序;

　　l 将下载的Setup_RAid1125928_Vxx.zip文件下载并解压缩到目标计算机上的任何位置;

　　l 在Windows资源管理器中，导航到该Setup_RAid1125928_Vxx文件夹(或打开Windows CMD提示并更改为安装文件夹)，运行Setup.exe以开始自动安装;

　　l 重新启动电脑

　　2. 使用适当的网络基础设施控制(如防火墙、UTM设备或其他安全设备)，阻塞或限制对TCP端口2222、7153和UDP端口44818的访问，从而阻止来自生产区域之外的TCP/IP或其他基于CIP协议的设备的所有流量。

　　CISA建议用户采取以下措施来保护自己免受社会工程攻击：

　　1.请勿单击Web链接或在电子邮件中打开未经请求的附件;

　　2.在防火墙后面找到控制系统网络和设备，并将其与业务网络隔离;

　　3.当需要远程访问时，使用安全的方法，如虚拟专用网(vpn)，因为vpn可能也有漏洞，应该更新到最新可用的版本。

　　参考文献：

　　[1] VENUSTECH：https://www.venustech.com.cn/article/1/11741.html

　　[2] CLAROTY：https://blog.claroty.com/research/eds-subsystem-vulnerabilities

　　[3] CVE：https://nvd.nist.gov/vuln/detail/CVE-2020-12034

　　[4] CVE：https://nvd.nist.gov/vuln/detail/CVE-2020-12038

　　[5] CISA：https://www.us-cert.gov/ics/advisories/icsa-20-140-01

来源：freebuf.com 2020-06-15 14:00:50 by: 北京天地和兴科技有限公司