12 de agosto de 2024Ravie LakshmananTecnología operativa / Seguridad de redes Se han revelado vulnerabilidades de seguridad en la solución de acceso remoto industrial Ewon Cosy+ que podrían ser utilizadas de forma abusiva para obtener privilegios de root en los dispositivos y realizar ataques posteriores. El acceso elevado podría luego ser utilizado como arma para descifrar archivos de firmware cifrados y datos cifrados, como contraseñas en archivos de configuración, e incluso obtener certificados VPN X.509 correctamente firmados para que dispositivos externos se apoderen de sus sesiones VPN. «Esto permite a los atacantes secuestrar sesiones VPN, lo que genera importantes riesgos de seguridad para los usuarios de Cosy+ y la infraestructura industrial adyacente», dijo el investigador de seguridad de SySS GmbH, Moritz Abrell, en un nuevo análisis. Los hallazgos se presentaron en la conferencia DEF CON 32 durante el fin de semana. La arquitectura de Ewon Cosy+ implica el uso de una conexión VPN que se enruta a una plataforma administrada por el proveedor llamada Talk2m a través de OpenVPN. Los técnicos pueden conectarse de forma remota a la puerta de enlace industrial mediante un relé VPN que se produce a través de OpenVPN. La empresa de pruebas de penetración con sede en Alemania dijo que pudo descubrir una vulnerabilidad de inyección de comandos del sistema operativo y una omisión de filtro que hizo posible obtener un shell inverso cargando una configuración OpenVPN especialmente diseñada. Un atacante podría haber aprovechado posteriormente una vulnerabilidad persistente de secuencias de comandos entre sitios (XSS) y el hecho de que el dispositivo almacena las credenciales codificadas en Base64 de la sesión web actual en una cookie desprotegida con nombre de credenciales para obtener acceso administrativo y, en última instancia, rootearlo. «Un atacante no autenticado puede obtener acceso root al Cosy+ combinando las vulnerabilidades encontradas y, por ejemplo, esperando a que un usuario administrador inicie sesión en el dispositivo», dijo Abrell. La cadena de ataque podría luego extenderse aún más para configurar la persistencia, acceder a las claves de cifrado específicas del firmware y descifrar el archivo de actualización del firmware. Además, una clave codificada almacenada dentro del binario para el cifrado de contraseñas podría aprovecharse para extraer los secretos. «La comunicación entre Cosy+ y la API de Talk2m se realiza a través de HTTPS y se protege mediante autenticación TLS mutua (mTLS)», explicó Abrell. «Si un dispositivo Cosy+ se asigna a una cuenta de Talk2m, el dispositivo genera una solicitud de firma de certificado (CSR) que contiene su número de serie como nombre común (CN) y lo envía a la API de Talk2m». Este certificado, al que el dispositivo puede acceder a través de la API de Talk2m, se utiliza para la autenticación OpenVPN. Sin embargo, SySS descubrió que la dependencia exclusiva del número de serie del dispositivo podría ser explotada por un actor de amenazas para registrar su propia CSR con un número de serie si se trata de un dispositivo objetivo e iniciar con éxito una sesión VPN. «La sesión VPN original se sobrescribirá y, por lo tanto, el dispositivo original ya no será accesible», dijo Abrell. «Si los usuarios de Talk2m se conectan al dispositivo utilizando el software de cliente VPN Ecatcher, se reenviarán al atacante». «Esto permite a los atacantes realizar más ataques contra el cliente utilizado, por ejemplo, acceder a servicios de red como RDP o SMB del cliente víctima. El hecho de que la conexión del túnel en sí no esté restringida favorece este ataque». «Dado que la comunicación de red se reenvía al atacante, la red y los sistemas originales podrían ser imitados para interceptar la entrada del usuario de la víctima, como los programas PLC cargados o similares». El desarrollo se produce después de que Microsoft descubriera múltiples fallas en OpenVPN que podrían encadenarse para lograr la ejecución remota de código (RCE) y la escalada de privilegios locales (LPE). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.