黑客正在尋求上升到攻擊的頂級(jí)梯隊(duì)，實(shí)現(xiàn)他們可以吹噓多年的單一入侵。這些值得吹噓的黑客之一是獲得對(duì)可編程邏輯控制器（PLC）上執(zhí)行的代碼的未檢測(cè)到的訪問(wèn)權(quán)限。為什么？因?yàn)檫@些系統(tǒng)有大量需要繞過(guò)的內(nèi)存保護(hù)。如果成功，集成代碼將處于操作系統(tǒng)或安全軟件無(wú)法檢測(cè)到的現(xiàn)有代碼中。以前的工作需要物理訪問(wèn)和連接到PLC，或者針對(duì)工程工作站和PLC的其他鏈接的技術(shù)，以獲得該級(jí)別的代碼執(zhí)行。

Team82 在西門(mén)子 PLC、SIMATIC S2020-15782 和 S7-1200 中發(fā)現(xiàn)了一個(gè)嚴(yán)重的內(nèi)存安全繞道漏洞 CVE-7-1500。常見(jiàn)漏洞和暴露 （CVE） 禁用訪問(wèn)保護(hù)，允許在 PLC 上的任何位置讀取和寫(xiě)入代碼或遠(yuǎn)程執(zhí)行惡意代碼的能力。

使用 CVE-2020-15782 逃離沙盒

所披露的漏洞在PLC執(zhí)行生態(tài)系統(tǒng)中的安全性以及代碼通常運(yùn)行的沙箱中滑動(dòng)。Team82 利用 CVE-2020-15782，躲避沙箱訪問(wèn)內(nèi)存，用于編寫(xiě)和注入外殼代碼以攻擊西門(mén)子 1200/1500 PLC。

為了“越獄”本機(jī) SIMATIC S7-1200 和 S7-1500 沙箱，Team82 利用其內(nèi)存保護(hù)繞過(guò)漏洞，允許黑帽將隨機(jī)數(shù)據(jù)輸入“受保護(hù)”內(nèi)存或讀取關(guān)鍵信息以進(jìn)一步利用環(huán)境。

西門(mén)子S7 PLC由ADONIS內(nèi)核和ARM或MIPS內(nèi)核供電。該控制器與許多編程語(yǔ)言兼容，包括結(jié)構(gòu)化控制語(yǔ)言 （SCL）、梯形圖（LD）、語(yǔ)句列表 （STL） 和功能塊圖 （FBD）。

Claroty不得不對(duì)字節(jié)碼語(yǔ)言進(jìn)行逆向工程（西門(mén)子尚未公開(kāi)披露有關(guān)如何解碼MC7 / MC7+字節(jié)碼的信息），以了解有關(guān)內(nèi)部環(huán)境的更多信息并找到可以利用的領(lǐng)域。

Team82的虛擬機(jī)通過(guò)操作系統(tǒng)提供的編譯字節(jié)碼而不是直接的硬件操作來(lái)阻礙用戶程序中的數(shù)據(jù)流。這會(huì)將用戶和代碼限制為安全的特定協(xié)議*，將代碼鎖定到沙箱中，減少對(duì)存儲(chǔ)和資源的訪問(wèn)，并削弱功能，從而損壞 PLC。

Team82總結(jié)道：“逃離沙箱意味著攻擊者能夠從PLC上的任何地方讀寫(xiě)，并可以使用惡意代碼修補(bǔ)內(nèi)存中的現(xiàn)有VM操作碼以根設(shè)備。例如，Claroty能夠?qū)RM或MIPS外殼代碼直接注入內(nèi)部操作系統(tǒng)結(jié)構(gòu)，這樣當(dāng)操作系統(tǒng)使用我們選擇的特定操作碼時(shí)，我們的惡意shellcode將執(zhí)行，從而為我們提供遠(yuǎn)程代碼執(zhí)行。我們使用這種技術(shù)來(lái)安裝一個(gè)內(nèi)核級(jí)程序，該程序具有一些對(duì)操作系統(tǒng)完全隱藏的功能。

漏洞

CVE-2020-15782

CWE-119 在內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當(dāng)限制

CVSS v3.1 成績(jī)： 8.1

*例如，操作系統(tǒng)將限制對(duì)受保護(hù)內(nèi)存的任何直接訪問(wèn)，但允許使用西門(mén)子提供的標(biāo)準(zhǔn)庫(kù)中的任何函數(shù)（例如ADD_I - 添加整數(shù)子例程）。

審核編輯：郭婷