CODESYS V3拒绝服务

当通道的CODESYS V3运行时分配内存缓冲区,它读取MaxChannels和BufferSize设置下[CmpChannelServer]部分中配置文件(即。,CODESYSControl。cfg Gateway.cfg)。整数设置在配置文件中被当作int32签署。如果BufferSize是一个很大的正数(我。e 0 x7fffffff)和MaxChannels * 2是一个负数(即。MaxChannels = 0 x7fffffff),它会导致运行时分配一个大的字节数(即。从堆中,0 x7ffff008)。这可能导致SysMemAllocData()失败,导致一个错误日志中:

01571694396373,0 x0000000a 4 17日0时,通道缓冲区分配内存失败,没有沟通渠道

当通道层(层4)不可用,7层服务不能运行,运行时功能受到了严重的限制。

此外,我们报告一个缺陷,CODESYS视为一个改进:

GatewayService。exe实现层7服务组6,它允许操作(即。、获取、设置、删除操作)网关设置的配置文件。访问层7服务,需要一个有效的会话ID。它看起来像一个未经身份验证的远程攻击者可能会作为一个匿名用户登录获取会话ID,在PLC(即。CODESYSControlService.exe),还实现了服务集团6 CmpUserMgr组件被认为是包含在运行时防止匿名访问。然而,它并不出现在GatewayService.exe CmpUserMgr组件实现。所以不清楚GatewayService。exe可以配置为防止未经过身份验证的远程攻击者修改配置文件。

当结合这两个问题,一个未经身份验证的远程攻击者可能会导致GatewayService DoS。exe重启。

附加的PoC Gateway.cfg试图写以下设置:

[CmpChannelServer] MaxChannels = 2147483647 BufferSize = 2147483647