三菱smartRTU操作系统命令注入漏洞安全通告
发布时间 2019-09-20●漏洞编号和级别
CVE编号:CVE-2019-14931,危险级别:高危,CVSS分值:官方未评定
●影响版本
产品: 三菱电机smartRTU 和INEA ME-RTU
固件版本: 三菱电机2.02及之前版本/INEA 3.0及之前版本
●漏洞概述
三菱电机的smartRTU和INEA ME-RTU中存在未经身份验证的远程操作系统命令注入漏洞。
该漏洞允许攻击者在相关RTU上远程执行任意操作系统命令,因为RTU基于web的远程配置应用对用户输入数据不做任何过滤。在“mobile.php”页面提供的“Mobile Connection Test”功能中,允许用户ping任意网址或者IP地址;黑客可以在输入IP地址或者网址的尾部添加shell命令分隔符(;),之后接着输入所需要执行的操作系统指令。
当“Mobile Connection Test”功能被执行的时候,RTU会调用“action.php”,该脚本的内容如下:
由于缺乏对用户输入数据的过滤,黑客可以在$command变量后面加挂需要执行的操作系统命令。例如,host变量可以是字符串:“www.inea.si;ping 127.0.0.1”,那么系统首先会执行合法的ping命令来测试www.inea.si的连通性,然后再执行非法ping命令来测试本地主机的连通性。
通过配置文件可以发现,用户“www-data”可以通过sudoers执行若干具有root权限的指令,该配置文件的存储的文件路径为/etc/sudoers.d/viswww。下表所示为用户“www-data”的所有权限。
虽然允许以root权限执行的命令非常有限,但是仍然可以利用/usr/sbin/service命令来绕过授权限制。通过利用“service”命令,可以在RTU上启动netcat服务并创建一个具有root权限的shell。具体操作如下:
下面代码所示为成功在RTU上成功以root权限运行shell:
由于session检查的缺失,使得黑客可以直接把payload发送给“action.php”从而实现上述攻击。下图所示为在攻击主机上远程执行curl命令。
●漏洞验证
POC:https://cxsecurity.com/issue/WLB-2019080056。
●修复建议
目前官方没发布相关补丁,请关注官网:https://www.mitsubishielectric.com/。
●参考链接
https://www.mogozobo.com/?p=3593
京公网安备11010802024551号