黑客正在尋求上升到攻擊的頂級梯隊，實現(xiàn)他們可以吹噓多年的單一入侵。這些值得吹噓的黑客之一是獲得對可編程邏輯控制器（PLC）上執(zhí)行的代碼的未檢測到的訪問權限。為什么？因為這些系統(tǒng)有大量需要繞過的內(nèi)存保護。如果成功，集成代碼將處于操作系統(tǒng)或安全軟件無法檢測到的現(xiàn)有代碼中。以前的工作需要物理訪問和連接到PLC，或者針對工程工作站和PLC的其他鏈接的技術，以獲得該級別的代碼執(zhí)行。

Team82 在西門子 PLC、SIMATIC S2020-15782 和 S7-1200 中發(fā)現(xiàn)了一個嚴重的內(nèi)存安全繞道漏洞 CVE-7-1500。常見漏洞和暴露 （CVE） 禁用訪問保護，允許在 PLC 上的任何位置讀取和寫入代碼或遠程執(zhí)行惡意代碼的能力。

使用 CVE-2020-15782 逃離沙盒

所披露的漏洞在PLC執(zhí)行生態(tài)系統(tǒng)中的安全性以及代碼通常運行的沙箱中滑動。Team82 利用 CVE-2020-15782，躲避沙箱訪問內(nèi)存，用于編寫和注入外殼代碼以攻擊西門子 1200/1500 PLC。

為了“越獄”本機 SIMATIC S7-1200 和 S7-1500 沙箱，Team82 利用其內(nèi)存保護繞過漏洞，允許黑帽將隨機數(shù)據(jù)輸入“受保護”內(nèi)存或讀取關鍵信息以進一步利用環(huán)境。

西門子S7 PLC由ADONIS內(nèi)核和ARM或MIPS內(nèi)核供電。該控制器與許多編程語言兼容，包括結(jié)構化控制語言 （SCL）、梯形圖（LD）、語句列表 （STL） 和功能塊圖 （FBD）。

Claroty不得不對字節(jié)碼語言進行逆向工程（西門子尚未公開披露有關如何解碼MC7 / MC7+字節(jié)碼的信息），以了解有關內(nèi)部環(huán)境的更多信息并找到可以利用的領域。

Team82的虛擬機通過操作系統(tǒng)提供的編譯字節(jié)碼而不是直接的硬件操作來阻礙用戶程序中的數(shù)據(jù)流。這會將用戶和代碼限制為安全的特定協(xié)議*，將代碼鎖定到沙箱中，減少對存儲和資源的訪問，并削弱功能，從而損壞 PLC。

Team82總結(jié)道：“逃離沙箱意味著攻擊者能夠從PLC上的任何地方讀寫，并可以使用惡意代碼修補內(nèi)存中的現(xiàn)有VM操作碼以根設備。例如，Claroty能夠?qū)RM或MIPS外殼代碼直接注入內(nèi)部操作系統(tǒng)結(jié)構，這樣當操作系統(tǒng)使用我們選擇的特定操作碼時，我們的惡意shellcode將執(zhí)行，從而為我們提供遠程代碼執(zhí)行。我們使用這種技術來安裝一個內(nèi)核級程序，該程序具有一些對操作系統(tǒng)完全隱藏的功能。

漏洞

CVE-2020-15782

CWE-119 在內(nèi)存緩沖區(qū)范圍內(nèi)操作的不當限制

CVSS v3.1 成績： 8.1

*例如，操作系統(tǒng)將限制對受保護內(nèi)存的任何直接訪問，但允許使用西門子提供的標準庫中的任何函數(shù)（例如ADD_I - 添加整數(shù)子例程）。

審核編輯：郭婷