ABB的μFLO G5流量計(jì)算機(jī)

在大型關(guān)鍵系統(tǒng)中，流量計(jì)算機(jī)分析流量計(jì)的讀數(shù)，監(jiān)測石油和天然氣等液體的速率、壓力或溫度。雖然這些系統(tǒng)本身無害，但保護(hù)這些系統(tǒng)是能源和公用事業(yè)供應(yīng)商的主要關(guān)注點(diǎn)。還記得殖民地管道勒索軟件嗎？

Claroty 的 Team82 最近在全球石油和天然氣公用事業(yè)公司使用的 μFLO G2022 流量控制器中發(fā)現(xiàn)了一個路徑遍歷漏洞 （CVE-0902-5）。研究人員對Linux單板計(jì)算機(jī)進(jìn)行了逆向工程，以利用ABB專有的TotalFlow協(xié)議，該協(xié)議通過以太網(wǎng)TCP或串行連接運(yùn)行，以通信設(shè)備設(shè)置，導(dǎo)入/導(dǎo)出配置文件以及從客戶端設(shè)備發(fā)送/檢索流命令和計(jì)算。

一旦被征用，白帽黑客就能夠在設(shè)備上遠(yuǎn)程訪問、配置和執(zhí)行代碼，并破壞計(jì)算機(jī)準(zhǔn)確測量流量的能力。

目標(biāo)：ABB的μFLO G5流量計(jì)算機(jī)

ABB μFLO G5圍繞32位ARMv8處理器設(shè)計(jì)，配備以太網(wǎng)、USB和其他串行I/O。由于它運(yùn)行Linux，Team82可以輕松地在實(shí)驗(yàn)室中模擬設(shè)備，并使用在線提供的未加密的TotalFlow固件通過TCP端口9999對其進(jìn)行配置。

在找到用于實(shí)現(xiàn)協(xié)議的代碼（位于可執(zhí)行文件中）后，研究人員運(yùn)行了一個init.d腳本，該腳本揭示了devLoader.exe系統(tǒng)二進(jìn)制文件。這標(biāo)志著逆向工程過程的開始，在此期間，他們將文件系統(tǒng)復(fù)制到 Raspberry Pi，復(fù)制目錄，并創(chuàng)建一個身份驗(yàn)證繞過來提供對用戶信息的訪問。

具體來說，他們針對μFLO G5的三種主要安全和身份驗(yàn)證機(jī)制：

基于角色的訪問控制，用于分配角色和權(quán)限，以便向客戶端讀取和寫入特定屬性

連接到主板的物理“安全開關(guān)”，用于啟用/禁用密碼的使用

兩個四位數(shù)安全密碼，授權(quán)數(shù)據(jù)讀取和寫入

黑客開始尋找“有趣的函數(shù)”，他們可以通過在客戶端和固件中搜索類似字符串的代碼、內(nèi)存初始化、循環(huán)冗余校驗(yàn) （CRC） 等來注入與錯誤相關(guān)的日志字符串。

“我們選擇了最簡單的方法，讀取/ etc / shadow并使用hashcat破解root帳戶密碼，結(jié)果證明是root：root，”Team82在一份聲明中說。然后，我們更改了SSH配置文件，以使root能夠使用密碼進(jìn)行連接。然后剩下的就是使用TotalFlow協(xié)議打開SSH守護(hù)程序并連接到它。

補(bǔ)丁過程：

Team82向ABB披露了此漏洞，ABB發(fā)布了固件更新，解決了CVE-2022-0902路徑遍歷漏洞。在調(diào)查期間，在兩個二進(jìn)制文件中修補(bǔ)了七個函數(shù)。該漏洞影響多個ABB產(chǎn)品，包括ABB的RMC-100（標(biāo)準(zhǔn)），RMC-100-LITE，XIO，XFCG5，XRCG5，uFLOG5，UDC產(chǎn)品。

修補(bǔ)問題涉及以下步驟：

運(yùn)行二進(jìn)制文件

等待二進(jìn)制文件崩潰（由于仿真/設(shè)置問題）

修補(bǔ)導(dǎo)致問題的功能（例如，跳過檢查）

返回步驟 1

審核編輯：郭婷