Wednesday, September 6, 2017
Tu PLC Sauter viene con una cuenta de e mail de regalo
Tu PLC Sauter viene con una cuenta de e mail de regalo
Sauter moduweb Vision es un m�dulo que proporciona un aplicativo web para la visualizaci�n de manera compacta, sencilla e intuitiva de la informaci�n que proporcionan diversos PLCs a los operarios que los utilizan en sus Sistemas Industriales. Tambi�n permite interactuar de manera directa en la configuraci�n de ciertos par�metros de este tipo de aut�matas programables.
Una funcionalidad que incorpora este m�dulo, es la configuraci�n de un cliente de correo electr�nico para que, en el caso de que se dispare una alarma (temperatura por encima de una consigna, extractores de humo averiados, etc�), autom�ticamente se envi� una notificaci�n por correo electr�nico a la persona responsable, avisando del tipo de incidencia.
Veremos en el presente art�culo c�mo, aprovech�ndonos de la configuraci�n por defecto de acceso a la gesti�n del PLC mediante el m�dulo moduWeb Vision, es posible acceder a la configuraci�n del cliente de correo electr�nico del PLC, obtener la contrase�a de la cuenta de correo indicada para las notificaciones y comprobar, con la ayuda del protocolo SMTP, si el password de acceso a la cuenta de correo electr�nico realmente se corresponde con �sta.
Fase 1: B�squeda de dispositivos Sauter con el m�dulo moduWeb Vision
Localizar PLCs con el m�dulo moduWeb Vision es realmente f�cil, utilizando el patr�n �Sauter moduWeb - Login� presente en el t�tulo de la web. Realizando un poco de Hacking con Buscadores, Google devuelve los siguientes resultados:
Fase 2: Datos de acceso por defecto
Muchos de estos PLCs conectados a Internet, que controlan entornos donde las vidas humanas tienen un papel fundamental ya que pueden estar en Sistemas Industriales o Infraestructuras Cr�ticas, siguen presentando configuraciones inseguras por defecto. Una sencilla b�squeda en Google nos proporciona los datos de acceso por defecto a estos dispositivos con moduWeb Vision: �admin� y �password�.
Introduciendo la informaci�n mostrada en la figura anterior, es posible acceder a buena parte de estos dispositivos. En la figura siguiente, se muestra el panel de manipulaci�n y monitorizaci�n del sistema de calefacci�n de un bloque de viviendas comunitario con credenciales por defecto.
Fase 3: Configuraci�n del cliente del correo electr�nico del PLC
Como se ha comentado, el m�dulo moduWeb Visi�n dispone de un cliente de correo electr�nico que se comunica con un servidor de correo electr�nico bajo el protocolo SMTP (Simple Mail Transfer Protocol) usando el puerto 25/TCP. Para ello, hemos de proporcionar en el la configuraci�n del cliente de correo, qui�n es el servidor de correo electr�nico saliente que enviar� el mensaje de alerta a un buz�n de correo electr�nico, la cuenta de correo electr�nico y la contrase�a de correo.
Por defecto, l�ase la documentaci�n del PLC, la opci�n de SSL para enviar correos electr�nicos cifrados viene desactivada.
Fase 4: Seguridad por ocultaci�n
En la figura anterior puede observarse c�mo la contrase�a, a primera vista, no aparece en texto plano debido al uso del campo input de tipo password en el formulario de configuraci�n del cliente de correo SMTP. Basta realizar un cambio en caliente desde el navegador web para obtener la clave en texto claro de la cuenta de correo electr�nico.
Conocida el password de uno de los usuarios del servidor de correo saliente usado por el PLC, el siguiente paso es comprobar que realmente se trata de una identidad digital v�lida utilizada por el PLC. Aqu� es d�nde entrar� en juego el protocolo SMTP.
Fase 5: Di�logo con el servidor de correo electr�nico mediante SMTP
El protocolo SMTP (Simple Mail Transfer Protocol) utiliza por defecto el puerto 25/TCP. Para conectarnos, basta realizar una conexi�n TCP del servidor. Inicialmente intentaremos mandar un correo electr�nico desde la cuenta de correo descubierta en el PLC. En caso de no estar bien configurado el servidor de correo, podr�amos �spoofear� cualquier cuenta de correo electr�nico (aunque el nombre de dominio fuera diferente al nombre de dominio configurado en el servidor de correo electr�nico) y usar ese servidor para realizar ataques, por ejemplo, de spear phishing.
Comprobamos c�mo el servidor de correo no permite el env�o de correos electr�nicos si no nos autenticamos correctamente en �l.
Es en este punto es donde utilizaremos para la autenticaci�n el password descubierto en la figura 6. Tras conectarnos al puerto 25/TCP, con la opci�n �auth login� decimos al servidor que queremos autenticarnos en �l. El servidor nos devolver� el mensaje �334 VXNlcm5hbWU6�, que se trata de una cadena codificada en Base64 solicitando el nombre de usuario.
Introducimos el nombre de usuario codificado en Base64 (c2xxxxxxxxx20=) y el servidor nos devuelve el mensaje �334 UGFzc3dvcmQ6� codificado en Base64 solicitando el password. Codificamos el password de la figura 7 en Base64 y se lo enviamos al servidor de correo. El servidor devuelve un mensaje de que la autenticaci�n es correcta (authentication succeeded).
Tras indicar qui�n es el emisor del mensaje y el destinatario, finalizar el mensaje con punto (.), el servidor devuelve el mensaje �mail accepted for delivery� (correo aceptado para la entrega). A continuaci�n se muestran todos los pasos de la conexi�n SMTP AUTH a trav�s de Telnet:
En estos momentos, podemos determinar que la cuenta de correo electr�nico y el password presente en la configuraci�n del cliente de correo del PLC de la figura 7, realmente pertenecen a una identidad digital v�lida en el servidor de correo saliente usado por el m�dulo moduWeb Vision del PLC Sauter y est� distribuida en todos y cada uno de los dispositivos. Todos con la misma. No parece la forma m�s segura de crear un sistema industrial.
Autor: Amador Aparicio (@amadapa), autor del libro "Hacking Web Technologies"
 |
| Figura 1: Tu PLC Sauter viene con una cuenta de e-mail de "regalo" |
Una funcionalidad que incorpora este m�dulo, es la configuraci�n de un cliente de correo electr�nico para que, en el caso de que se dispare una alarma (temperatura por encima de una consigna, extractores de humo averiados, etc�), autom�ticamente se envi� una notificaci�n por correo electr�nico a la persona responsable, avisando del tipo de incidencia.
 |
| Figura 2: PLC Sauter |
Veremos en el presente art�culo c�mo, aprovech�ndonos de la configuraci�n por defecto de acceso a la gesti�n del PLC mediante el m�dulo moduWeb Vision, es posible acceder a la configuraci�n del cliente de correo electr�nico del PLC, obtener la contrase�a de la cuenta de correo indicada para las notificaciones y comprobar, con la ayuda del protocolo SMTP, si el password de acceso a la cuenta de correo electr�nico realmente se corresponde con �sta.
Fase 1: B�squeda de dispositivos Sauter con el m�dulo moduWeb Vision
Localizar PLCs con el m�dulo moduWeb Vision es realmente f�cil, utilizando el patr�n �Sauter moduWeb - Login� presente en el t�tulo de la web. Realizando un poco de Hacking con Buscadores, Google devuelve los siguientes resultados:
 |
| Figura 3: Dorking y resultados devueltos por Google |
Fase 2: Datos de acceso por defecto
Muchos de estos PLCs conectados a Internet, que controlan entornos donde las vidas humanas tienen un papel fundamental ya que pueden estar en Sistemas Industriales o Infraestructuras Cr�ticas, siguen presentando configuraciones inseguras por defecto. Una sencilla b�squeda en Google nos proporciona los datos de acceso por defecto a estos dispositivos con moduWeb Vision: �admin� y �password�.
 |
| Figura 4: B�squeda de los datos de acceso por defecto |
Introduciendo la informaci�n mostrada en la figura anterior, es posible acceder a buena parte de estos dispositivos. En la figura siguiente, se muestra el panel de manipulaci�n y monitorizaci�n del sistema de calefacci�n de un bloque de viviendas comunitario con credenciales por defecto.
 |
| Figura 5: Diagrama de un sistema de calefacci�n comunitario |
Fase 3: Configuraci�n del cliente del correo electr�nico del PLC
Como se ha comentado, el m�dulo moduWeb Visi�n dispone de un cliente de correo electr�nico que se comunica con un servidor de correo electr�nico bajo el protocolo SMTP (Simple Mail Transfer Protocol) usando el puerto 25/TCP. Para ello, hemos de proporcionar en el la configuraci�n del cliente de correo, qui�n es el servidor de correo electr�nico saliente que enviar� el mensaje de alerta a un buz�n de correo electr�nico, la cuenta de correo electr�nico y la contrase�a de correo.
 |
| Figura 6: Par�metros de la configuraci�n del cliente de correo electr�nico por SMTP |
Por defecto, l�ase la documentaci�n del PLC, la opci�n de SSL para enviar correos electr�nicos cifrados viene desactivada.
Fase 4: Seguridad por ocultaci�n
En la figura anterior puede observarse c�mo la contrase�a, a primera vista, no aparece en texto plano debido al uso del campo input de tipo password en el formulario de configuraci�n del cliente de correo SMTP. Basta realizar un cambio en caliente desde el navegador web para obtener la clave en texto claro de la cuenta de correo electr�nico.
 |
| Figura 7: Modificaci�n en el formulario del cliente para ver la password |
Conocida el password de uno de los usuarios del servidor de correo saliente usado por el PLC, el siguiente paso es comprobar que realmente se trata de una identidad digital v�lida utilizada por el PLC. Aqu� es d�nde entrar� en juego el protocolo SMTP.
Fase 5: Di�logo con el servidor de correo electr�nico mediante SMTP
El protocolo SMTP (Simple Mail Transfer Protocol) utiliza por defecto el puerto 25/TCP. Para conectarnos, basta realizar una conexi�n TCP del servidor. Inicialmente intentaremos mandar un correo electr�nico desde la cuenta de correo descubierta en el PLC. En caso de no estar bien configurado el servidor de correo, podr�amos �spoofear� cualquier cuenta de correo electr�nico (aunque el nombre de dominio fuera diferente al nombre de dominio configurado en el servidor de correo electr�nico) y usar ese servidor para realizar ataques, por ejemplo, de spear phishing.
Comprobamos c�mo el servidor de correo no permite el env�o de correos electr�nicos si no nos autenticamos correctamente en �l.
 |
| Figura 8: Conexi�n SMTP e intento de env�o sin autenticar. El servidor no lo permite. |
Es en este punto es donde utilizaremos para la autenticaci�n el password descubierto en la figura 6. Tras conectarnos al puerto 25/TCP, con la opci�n �auth login� decimos al servidor que queremos autenticarnos en �l. El servidor nos devolver� el mensaje �334 VXNlcm5hbWU6�, que se trata de una cadena codificada en Base64 solicitando el nombre de usuario.
Introducimos el nombre de usuario codificado en Base64 (c2xxxxxxxxx20=) y el servidor nos devuelve el mensaje �334 UGFzc3dvcmQ6� codificado en Base64 solicitando el password. Codificamos el password de la figura 7 en Base64 y se lo enviamos al servidor de correo. El servidor devuelve un mensaje de que la autenticaci�n es correcta (authentication succeeded).
Tras indicar qui�n es el emisor del mensaje y el destinatario, finalizar el mensaje con punto (.), el servidor devuelve el mensaje �mail accepted for delivery� (correo aceptado para la entrega). A continuaci�n se muestran todos los pasos de la conexi�n SMTP AUTH a trav�s de Telnet:
 |
| Figura 9: Conexi�n SMTP AUTH a trav�s de Telnet |
En estos momentos, podemos determinar que la cuenta de correo electr�nico y el password presente en la configuraci�n del cliente de correo del PLC de la figura 7, realmente pertenecen a una identidad digital v�lida en el servidor de correo saliente usado por el m�dulo moduWeb Vision del PLC Sauter y est� distribuida en todos y cada uno de los dispositivos. Todos con la misma. No parece la forma m�s segura de crear un sistema industrial.
Autor: Amador Aparicio (@amadapa), autor del libro "Hacking Web Technologies"
Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord
download file now
