施耐德电气修复软件中的 XXE 漏洞

作者：Lindsey O'Donnell

翻译：360代码卫士团队

周二，施耐德电气公司发布修复方案，修复了 SoMachine Basic 软件中可导致任意数据遭披露和检索的漏洞。

该软件的作用是为可编程逻辑控制器开发代码。攻击者能够利用 SoMachine Basic 中 XML 解析工具中的一个漏洞发动带外远程任意数据检索攻击。

施耐德电气公司在一份安全公告中指出，“SoMachien Basic 遭受使用 DTD 参数实体技术的一个 XML 外部实体 (XXE) 漏洞影响，从而导致受影响节点因遭带外攻击而暴露并检索任意数据。如果在解析 xml project/template 文件时未清洁传入 xml 解析器的输入，就会触发该漏洞。”

从本质上来讲，它意味着 SoMachine Basic 多个版本的站点接受 XML 文档作为输入。收到 XML 文档后对其进行解析，也就是说将其从一个文本文件转变为结构数据。

Contrast Security 公司的首席技术官 Jeff Williams 表示，“XML 解析器负责进行解析，而XML 标准支持在文档中添加头部等功能，从而导致创建文档的人员能够引用外部文档或文件。”

Williams 表示，攻击者能够创建一个恶意 XML 文件并将其上传至该站点，但当 XML 解析器读取该文件时，它还会读取攻击者所添加的恶意头部，并试图带入外部资源，如磁盘中的引用文件或者网络上的其它文件服务器。

Williams 表示，“因此攻击者能够上传恶意 XML 文件，随后从磁盘引入资源，之后程序通过网站泄露这些详情。这些数据可能是内部网络中的任何东西，包括制造数据或个人数据。更大的潜在风险在于和工业进程相关的 IP 地址、源代码或文件被盗。”

施耐德电气指出，该漏洞 (CVE-2018-7783) 的 CVSS 评分为8.6，即为“高危”漏洞。然而，Tenable 公司的生产管理高级主管 Tom Parsons 认为，虽然该漏洞可能会带来数据风险，但 SoMachine Basic 并非生产工控系统，而是位于开发环境中。因此，它并不会引发重大宕机事件因此对于业务而言紧急性并不高。

他指出，“攻击要求用户交互。受害者必须主动加载/导入攻击者构造的恶意文件。这种攻击并不容易实施，因为攻击者无法远程连接至系统并执行利用代码。”

施耐德电气公司尚未回复关于是否发现该漏洞的利用代码等问题。

发现该漏洞的Applied Risk 公司的研究员 Gjoko krstikj 指出，“施耐德电气公司的网络安全团队和 Applied Risk 公司一起致力于推出有效补丁确保解决这个利用问题。”

该漏洞影响 SoMachine Basic 1.6 SP1 版本此前的所有版本。施耐德电气公司表示已推出可下载的修复方案，或者也可通过施耐德电气软件更新工具打补丁。

施耐德电气的系统遭受大量漏洞困扰。5月份，施耐德电气的两款工控产品中出现了一个严重的远程代码执行漏洞，去年起 WonderWare Historian 产品中也出现一个严重漏洞。

不过，Parsons 等安全专家指出，工业厂商自身已经增强了对运营技术相关的硬件和软件产品中网络安全漏洞的意识。

Parsons 指出，“运营技术系统中的远程服务漏洞等漏洞类型仍然十分常见，虽然在 IT 界这些漏洞类型已被应用漏洞所取代。这表明运营技术最近才变成威胁攻击者的目标。但随着运营技术联网属性越来越强，运营技术厂商在解决漏洞问题以及提供补丁方面的意识方面得到增强，而且行动也变得越来越主动。”

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。