DATX132 3ASC25H216A  密码等效机密的泄露

我们发现了两个实例，在这两个实例中，从明文密码导出的秘密在数据包中泄露。能够读取此类数据包的攻击者将能够获取此秘密，并使用它成功地通过PLC的身份验证。由于身份验证的实现方式，该密码在功能上等同于明文密码。我们实现了一个PoC，它使用这个秘密执行成功的身份验证，而不是使用明文形式的密码。

关于如何管理会话的另一个漏洞目前正在讨论中。我们建议资产所有者遵循本博客中的缓解措施以及供应商针对之前描述的漏洞提出的缓解措施。

通过将多个漏洞链接在一起设计攻击场景

如果我们将一些已识别的漏洞联系在一起，就会出现几种攻击场景。理解这种方法很重要，因为现实世界中的攻击通常是通过利用几个漏洞来实现最终目标的。

在这种情况下，攻击者可以通过分析工程工作站和安全PLC之间的活动会话来开始其活动。通过这种分析，他们可以了解如何复制特权命令，然后选择合适的时机继续恶意活动，此时他们认为被注意到的可能性最小。然后，攻击者会向PLC询问注册用户的列表。回复还将包含每个注册用户的密码等效秘密。

下一阶段可以在最有利于实现最大影响的时候进行。攻击者现在可以使用真实凭证登录，并更改安全PLC逻辑。然后，他们可以启动密码暴力攻击，将所有人锁定在PLC之外。当工程师试图通过工程工作站重新访问PLC时，他们将无法这样做，除非他们首先阻止密码暴力破解包到达PLC。

最后，如果攻击者更进一步，更改了注册用户的密码，那么除了物理关闭PLC以防止潜在的危害之外，别无选择。

BENTLY 135613-02

BENTLY 135473-01

BENTLY 135489-04

BENTLY 136719-01

BENTLY 3500/05-01-02-00-00-01

BENTLY 136188-01

BENTLY 135489-03

BENTLY 125388-01H

BENTLY 3500/60

BENTLY 163179-01

BENTLY 128276-011

BENTLY 128275-01-E

BENTLY 3500/34

BENTLY 140471-01

BENTLY 133396-01

BENTLY 125680-01

BENTLY 135137-01

BENTLY 3500/70M

BENTLY 176449-08

BENTLY 163179-02

BENTLY 3500/61

BENTLY 125720-01

BENTLY 3500/15 127610-01

BENTLY 127610-01

BENTLY 3500/22M 138607-01

BENTLY 3500/22M