Специалисты «Лаборатории Касперского» обнаружили семь уязвимостей в программном продукте Moxa ThingsPro Suite, предназначенном для установки на коммуникационные компьютеры UC-8100. Бреши, две из которых получили максимальный балл по шкале CVSS, допускают выполнение на устройстве произвольного кода и эскалацию привилегий как в рамках приложения, так и на уровне операционной системы. Производитель исправил все найденные баги выпуском нового релиза программы.

ThingsPro Suite используется в системах промышленной автоматизации для сбора данных с измерительных устройств, датчиков и программируемых контроллеров, а также для передачи этих сведений в облачное хранилище. Приложение работает в среде Linux и обладает веб-интерфейсом для управления и настройки. Кроме того, разработка позволяет создавать и подключать дополнительные программные модули через собственный API.

Как выяснили эксперты Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT), удаленный злоумышленник может проникнуть в систему, взломав механизм аутентификации веб-интерфейса. Аналитики привели два варианта атаки. Первый предполагает подбор логина путем мониторинга сообщений об ошибке авторизации, а также брутфорс пароля. Уязвимость CVE-2018-18390 связана с тем, что ThingsPro Suite по-разному реагирует на корректное и некорректное значение логина, даже если в паре с ним был введен заведомо ошибочный секретный ключ.

Второй вариант обхода системы аутентификации предполагает использование токена сеанса, предназначенного для работы с RESTful API. Токен имеет root-права и статус «Скрытый», однако может быть найден злоумышленником при помощи специального запроса. Уязвимость CVE-2018-18395 не требует последующего повышения привилегий и получила от аналитиков «Лаборатории Касперского» критический уровень опасности по шкале CVSS.

Если злоумышленник проник в систему при помощи брутфорс-атаки, он может расширить свои права через запрос на изменение пароля. Как установили исследователи, ThingsPro Suite не только изменяет секретный ключ без ввода его старого значения (CVE-2018-18393), но и допускает модификацию других параметров учетной записи. В частности, отправив запрос от имени пользователя с минимальными правами и указав в нем роль root, атакующий получает соответствующие привилегии. Баг зарегистрирован как CVE-2018-18391 и оценен в 8,8 балла по CVSS.

Тот же запрос киберпреступник может применить, чтобы изменить пароль другого пользователя приложения, например администратора. Эксплуатация бреши CVE-2018-18392 позволяет злоумышленнику в дальнейшем войти в систему с максимальными правами.

Получив root-привилегии в ThingsPro Suite, нападающий может перехватить управление устройством, выполнив произвольный код в рамках операционной системы. Десятибалльная уязвимость CVE-2018-18396 связана с возможностью внедрения команд в запрос на расширение RESTful API панели управления программы. При обработке система не проверяет его параметры и передает в командную строку Linux со всеми вредоносными включениями.

Кроме того, исследователи отметили ненадежное шифрование токенов авторизации, хранение информации о ключах идентификации в открытом виде, а также возможность получения сведений о версии, IP и Mac-адресе программы через HTTP-запрос на порт 8880.

Все обнаруженные баги относятся к релизу ThingsPro Suite 2.1 Build 17072504. Специалисты «Лаборатории Касперского» передали информацию об уязвимостях в компанию Moxa, и разработчик исправил их, выпустив версию 2.3 своей программы. Апдейт вышел в июле прошлого года, однако стороны не раскрывали сведений об ошибках, чтобы дать возможность пользователям обновить свои системы.

В апреле 2018 стало известно о десятибалльной уязвимости в другом продукте Moxa — промышленной точке доступа AWK-3131A. Баг позволял выполнить на устройстве команду, включенную в имя пользователя во время процедуры авторизации. Информация о неудачной попытке входа попадала в журнал ошибок и при определенных условиях могла быть некорректно обработана приложением.

Категории: Уязвимости