施耐德电气igs数据收集器多个漏洞

高

在研究icsa - 21 - 285 - 03 Nessus插件的报道,站得住脚的发现多个漏洞在施耐德电气igs数据收集器(dc.exe) v15.0.0.21301。

未经身份验证的远程文件删除

CVSS: 3.1 / AV: N /交流:H /公关:UI: N / N / S: U / C: N /我:H: L (6.5)

igs数据收集器(dc.exe)不检查时要删除的用户提供的文件处理操作码60。未经过身份验证的远程攻击者知道igs项目目录可以利用这个来删除任意文件。exe主机下dc.exe用户帐户的安全上下文中运行。

POC:

python3 igss_dc_opcode_60_file_deletion。py - t <目标> 12397 - f - p ' C: \ tmp \ delete_me。txt - d的C: \ ProgramData \施耐德电气\ IGSS32 \ V15.0 \ GssDemo \ '使用igs项目目录C: \ ProgramData \施耐德电气\ IGSS32 \ V15.0 \ GssDemo \这个脚本试图删除C: \ tmp \ delete_me。txt远程目标主机上提供了指定的远程igs项目目录是正确的。如果指定的项目目录不正确,文件删除就会失败。请保存的副本文件,确保正确的igs项目目录在继续之前的脚本。按c / c继续或任何其他关键(s)戒烟:c发送一个专门制作的信息请检查如果c: \ tmp \ delete_me。三种目标主机上已被删除

未经身份验证的远程DoS

CVSS: 3.1 / AV: N /交流:H /公关:UI: N / N / S: U / C: N /我:N / A: H (5.9)

igs数据收集器(dc.exe)不正确检查压缩数据的用户提供的尺寸在处理操作码101。直流。exe是带符号整数比较检查。消极的大小会通过检查,但大小将被视为一个非常大的正整数后,它传递给memcpy ():

直流。exe v15.0.0.21301

<剪断…>。text: 0047 ee69 mov连成一片,(eax + 1 ch);attacker-controlled大小。text: 0047 ee6c mov [ebp + DataSize],连成一片。text: 0047 ee72 mov edx, [ebp + var_2D8]。text: 0047 ee78 mov eax, [edx]。text: 0047 ee7a添加eax, [ebp + DataSize]。text: 0047 ee80 cmp eax, 7534 h。text: 0047 ee85签署int比较。text: 0047 ee85 0 xffffffff(1)能通过尺寸检查。text: 0047 ee85 jle短ok_47EEF1;attacker-controlled大小。text: 0047 ee85;(即。,0 xffffffff) <剪断…>。text: 0047 eef1 ok_47EEF1:;代码XREF: sn_receive_file + 225↑j。text: 0047 eef1 mov edx (ebp + DataSize);attacker-controlled大小。text: 0047 eef1;(即。,0 xffffffff)。text: 0047 eef7 edx推;大小。text: 0047 eef8 mov eax, [ebp + arg_0]。text: 0047 eefb添加eax, 20 h;' '。text: 0047 eefe eax推;Src。text: 0047 eeff mov连成一片,[ebp + var_2D8]。text: 0047 ef05 mov edx,[连成一片+ 14 h]。text: 0047 ef08 mov eax, [ebp + var_2D8]。text: 0047 ef0e添加edx, [eax]。text: 0047 ef10 edx推;void *。text: 0047 ef11叫memcpy <剪…>

未经过身份验证的远程攻击者知道igs项目目录可以利用这个崩溃。exe,重启。

POC:

python3 igss_dc_opcode_101_dos。py - t <目标> - p 12397 - d C: \ ProgramData \施耐德电气\ IGSS32 \ V15.0 \ GssDemo \ '使用igs项目目录C: \ ProgramData \施耐德电气\ IGSS32 \ V15.0 \ GssDemo \注意,如果指定的项目目录是不正确的。exe将不会终止。发送一个特别制作的消息回溯(最近的电话最后):文件“/工作/ / igss_dc_opcode_101_dos 0天。py”, 64行,在<模块> s.recv (1024) ConnectionResetError: [Errno 104]通过对等连接重置

2021年11月3日:站得住脚的通知施耐德电气的漏洞

2021年11月3日:施耐德承认的通知,要求概念验证脚本

2021年11月4日:站得住脚的PoC脚本发送给施耐德

2021年11月4日:施耐德承认收到脚本,分配内部跟踪号5312、5313的问题

2021年12月1日:施耐德股票草案的站得住脚的安全顾问,宣布发布日期是2021年12月14日

2021年12月14日:施耐德发布咨询,分配cf cve - 2021 - 22823和cve - 2021 - 22824的问题

交易报告内的所有信息提供了“是”,没有任何形式的保证,包括适销性的隐含保证和健身为特定目的,并没有保证的完整性、准确性、及时性。个人和组织负责评估任何实际或潜在的安全漏洞的影响。

站得住脚的非常重视产品安全。如果你认为你已经找到一个漏洞在一个我们的产品,我们要求您请与我们共同努力,快速解决它为了保护客户。站得住脚的相信迅速应对这样的报道,与研究人员保持沟通,并提供解决方案。

提交漏洞信息的更多细节,请参阅我们的漏洞报告指南页面。

如果你有问题或修正咨询,请电子邮件(电子邮件保护)

CVE ID: cve - 2021 - 22823
cve - 2021 - 22824

成立咨询ID

- 2022 - 03

风险因素

高

产品

业务需求

行业

合规

Vm的洞察力

研究

有特色的网络研讨会

找到合作伙伴

站得住脚的保证合作伙伴

技术合作伙伴

支持

服务

联系专业服务

关于我们

新闻和事件

有特色的网络研讨会

探索网络曝光

施耐德电气igs数据收集器多个漏洞

剧情简介

未经身份验证的远程文件删除

未经身份验证的远程DoS

解决方案

额外的引用

披露时间表

风险信息

施耐德电气igs数据收集器多个漏洞

剧情简介

未经身份验证的远程文件删除

未经身份验证的远程DoS

解决方案

额外的引用

披露时间表

风险信息

站得住脚的脆弱性管理

站得住脚的脆弱性管理

谢谢你！

尝试成立Nessus专业免费的

新成立Nessus专家现在可用

买站得住脚的Nessus专业

选择您的许可

谢谢你！

尝试站得住脚的Web应用程序扫描

买站得住脚的Web应用程序扫描

谢谢你！

尝试成立Lumin

买站得住脚的Lumin

谢谢你！

请求一个站得住脚的安全演示中心

请求一个演示站得住脚的不安全

请求一个演示站得住脚的身份曝光

尝试站得住脚的云安全

联系销售代表购买站得住脚的云安全

谢谢你！

看到成立一个在行动

看到站得住脚的攻击表面管理行动

谢谢你！

尝试成立Nessus专家免费

买站得住脚的Nessus专家

选择您的许可

尝试Nessus专家免费

买站得住脚的Nessus专家

选择您的许可

新成立Nessus专家
现在可用

看到
成立一个
在行动