Se han revelado vulnerabilidades de seguridad en la solución de acceso remoto industrial Ewon Cozy+ que podrían explotarse para obtener privilegios de root en dispositivos y lanzar ataques de seguimiento.
Elevated Access podría usarse entonces como arma para descifrar archivos de firmware cifrados y datos cifrados, como contraseñas en archivos de configuración, e incluso obtener certificados VPN X.509 debidamente firmados para que dispositivos externos tomen el control de sus sesiones VPN.
“Esto permite a los atacantes secuestrar sesiones VPN, lo que genera importantes riesgos de seguridad para los usuarios de Cozy+ y la infraestructura industrial adyacente”, afirmó Moritz Abrell, investigador de seguridad de SySS GmbH. dicho en un nuevo análisis.
Los resultados fueron presentado en la conferencia DEF CON 32 este fin de semana.
La arquitectura de Ewon Cozy+ implica el uso de una conexión VPN que se enruta a una plataforma administrada por el proveedor llamada Talk2m a través de OpenVPN. Los técnicos pueden conectarse de forma remota a la puerta de enlace industrial mediante un paso de VPN que se produce a través de OpenVPN.
La empresa de pentesting con sede en Alemania dijo que pudo descubrir una vulnerabilidad de inyección de comandos en el sistema operativo y una omisión de filtro que permitía lograr un shell inverso descargando una configuración OpenVPN especialmente diseñada.
Posteriormente, un atacante podría haber aprovechado una vulnerabilidad persistente de secuencias de comandos entre sitios (XSS) y el hecho de que el dispositivo almacena las credenciales codificadas en Base64 de la sesión web actual en una cookie desprotegida llamada credenciales para obtener acceso administrativo y finalmente rootearlo.
“Un atacante no autenticado puede obtener acceso root al Cozy+ combinando las vulnerabilidades encontradas y, por ejemplo, esperando a que un usuario administrador inicie sesión en el dispositivo”, dijo Abrell.
Luego, la cadena de ataque podría ampliarse para implementar persistencia, acceder a claves de cifrado específicas del firmware y descifrar el archivo de actualización del firmware. Además, se podría utilizar una clave codificada almacenada en el binario para cifrar la contraseña para extraer los secretos.
“La comunicación entre Cozy+ y la API Talk2m se realiza a través de HTTPS y está protegida mediante autenticación mutua TLS (mTLS)”, explica Abrell. “Si un dispositivo Cozy+ se asigna a una cuenta de Talk2m, el dispositivo genera una Solicitud de firma de certificado (CSR) que contiene su número de serie como nombre común (CN) y la envía a la API de Talk2m. »
Este certificado, al que el dispositivo puede acceder a través de la API Talk2m, se utiliza para la autenticación OpenVPN. Sin embargo, SySS descubrió que confiar únicamente en el número de serie del dispositivo podría ser aprovechado por un actor malintencionado para inscribir su propio CSR con un número de serie en un dispositivo de destino e iniciar con éxito una sesión VPN.
“La sesión VPN original se sobrescribirá y ya no se podrá acceder al dispositivo original”, dijo Abrell. “Si los usuarios de Talk2m se conectan al dispositivo mediante el software cliente VPN Ecatcher, serán redirigidos al atacante. »
“Esto permite a los atacantes llevar a cabo más ataques contra el cliente utilizado, por ejemplo accediendo a servicios de red como RDP o SMB del cliente víctima. El hecho de que la conexión del túnel en sí no esté restringida favorece este ataque. »
“Dado que la comunicación de red se transmite al atacante, la red y los sistemas originales podrían imitarse para interceptar las entradas del usuario de la víctima, como programas PLC descargados o similares. »
Este desarrollo se produce cuando Microsoft descubrió varias vulnerabilidades en OpenVPN que podrían encadenarse para lograr la ejecución remota de código (RCE) y la escalada de privilegios local (LPE).