最近5、6年,VPN系统常常是骇客试图入侵企业网路环境的管道,攻击者很可能利用相关漏洞突破防护措施,从而取得初始入侵的管道。而在工业控制系统(ICS)里,不少操作人员也利用远端存取的方式来进行作业,一旦相关的系统存在弱点,攻击者也有机会对工控环境上下其手。
资安业者SySS指出,针对这套远端存取系统的架构,研究人员提出说明。Ewon Cosy+透过OpenVPN对厂商管理的平台Talk2m进行路由,从而建立VPN连线,操作员借此远端存取工业控制闸道。
研究人员发现,攻击者可在上传特制的OpenVPN组态的过程中,输入额外的符号绕过过滤器的防护,触发作业系统命令注入漏洞,甚至能借由特定的OpenVPN组态产生反向Shell。
由于OpenVPN执行使用root的权限,研究人员借由上述管道也试图对Ewon Cosy+进行root提权,后续他们也挖掘出跨网站指令码(XSS)漏洞,未经身分验证的攻击者,能借此利用事件记录让FTP服务中毒并触发漏洞。
接著,攻击者有机会进一步扩大攻击链,以便维持在受害设备运作,或是存取韧体特定的加密金钥,或是解开韧体的更新档案。再者,研究人员也发现写死在可执行档的金钥,攻击者可用来破解帐密资讯。
另一方面,Cosy+与Talk2m的API通讯透过HTTPS进行,并透过双向验证TLS(mutual TLS,mTLS)机制保护,若是企业将Cosy+装置指派给Talk2m帐号,将会产生凭证签章请求(Certificate Signing Request,CSR)。但研究人员发现,攻击者有机会滥用装置的序号注册CSR,而有可能覆盖原本的VPN通讯,并对用户端发动攻击。