多个Advantech WebAccess漏洞

在进行研究cve - 2017 - 16720和cve - 2018 - 18999站得住脚的发现,多个漏洞Advantech WebAccess 8.3.4 / SCADA版本。

cve - 2019 - 3940:未经身份验证的文件上传远端控制设备

8.3.3 Advantech WebAccess / SCADA版本引入drawsrv.dll DsDaqWebService函数的变化。似乎这些变化旨在修复cve - 2017 - 16720白名单确定可执行文件在某些WebAccess特定目录,可以被传递到Windows CreateProcessA () API调用。

然而,webvrpcs。exe接受未经身份验证的RPC调用执行远程文件操作,包括fopen fseek, ftell,从文件中读,写入文件,文件关闭。未经过身份验证的远程攻击者可以发出RPC调用上传恶意可执行文件并将其保存为一个白名单可执行文件。例如,当WebAccess / SCADA默认设置安装,C: \ WebAccess \ \网络节点。exe是白名单但没有网。exe在C: \ WebAccess \节点。攻击者可以上传PsExec。exe(从Sysinternals)到目标主机和保存为C: \ WebAccess \ \ net.exe节点。攻击者然后发出RPC调用IOCTL 10001 PsExec发射。exe PsExec.exe attacker-specified参数被传递。

cve - 2019 - 3941:未经身份验证的任意远程文件删除

webvrpcs。exe接受未经身份验证的RPC调用来执行文件分开操作:

。text: 10002 bb7 ioctl_10005:;代码XREF: DsDaqWebService + FEj。text: 10002 bb7;数据XREF。text: off_100041ECo。text: 10002 bb7 mov连成一片,[ebp + arg_pInbuf];jumptable 1000284 e案例5。text: 1000284 bba推动连成一片;文件名。text: 10002 bbb ds: _unlink

未经过身份验证的远程攻击者可以发行IOCTL 10005 RPC调用删除远程目标主机上的任意文件。

cve - 2019 - 3942:未经身份验证的任意文件下载

webvrpcs。exe接受未经身份验证的RPC调用执行远程文件操作,包括fopen fseek, ftell,从文件中读,写入文件,文件关闭。未经过身份验证的远程攻击者可以发出RPC调用下载任意文件从远程目标主机。

攻击者可以使用下载文件来启动进一步的攻击。例如,攻击者可以下载bwcfg项目数据库。mdb和解码为admin用户密码。攻击者可以访问web UI的产品。具体地说,攻击者可以打开bwcfg。与Microsoft Access mdb,提取管理用户的密码和2字段在pUserPassword表中。管理密码可以使用附加的python脚本advantech_webaccess_passwd_decode.py解码:

python advantech_webaccess_passwd_decode #。py 9 d038dd7f9db5a5b B0F2D054BFD6AB54密码:9 d038dd7f9db5a5b 2: B0F2D054BFD6AB54破译密码:00000000:73 65 63 72 65 74的秘密