ПЛК Mitsubishi: как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки

[VelocidadAbsurda]

Очень увлекательно, спасибо, что делитесь!

Через «запредельные» DevOff к самой прошивке не подобраться? Или к какой-нибудь области RAM, где мелькает ключ обновления в процессе установки? Наверняка же попробовали :)

[AntonDorfman]

Дотянуться через DevOff до чего-то "вкусного" типа прошивки или ключей пробовал многими возможными способами и через разные устройства. :-)

Там есть какие-то данные и они активно используются, поскольку запись в них приводит к DoS. Чтобы понять как их можно использовать более "умно" нужен код прошивки, которого нет. :-)

[xztau]

Антон, вопрос чисто из любопытства: на какой операционной системе работает ПЛК SIEMENS S7-1500?

[AntonDorfman]

Конкретно эту модель ПЛК не исследовал, поэтому здесь ничего ответить не могу. Возможно, кто-то из моих коллег смотрел ее, попробую узнать.

[AntonDorfman]

Уточнил. По информации от коллег в ПЛК SIEMENS S7-1500 используется проприетарная OS Adonis версии S14.3.13.

[xztau]

Нашёл одно упоминание об ОС!

https://i.blackhat.com/eu-19/Wednesday/eu-19-Abbasi-Doors-Of-Durin-The-Veiled-Gate-To-Siemens-S7-Silicon.pdf

Оказывается, и сименс ломать пытаются.

Получается ADONIS это UNIX какой то в базе?

[AntonDorfman]

В одной из работ я встречал упоминание Adonis Linux.

Вот здесь подробно разбирают строение OS Adonis.

https://www.youtube.com/watch?v=SvoZextDCRQ

[VelocidadAbsurda]

Вспомнилось: есть ещё младшее семейство, FX3, на базе уязвимых STM32, их китайцы вовсю копируют и на Али продают. У них, случайно, кодовая база с FX5 не общая? Возможно, удалось бы сдампить прошивку FX3 и почерпнуть из неё что-то применимое на FX5, чем чёрт не шутит?

[AntonDorfman]

Насколько мне известно у FX5 и FX3 нет ничего общего. Коллега подсказал по FX3, что китайцы воспроизводят только линейки младших серий из-за того, что им отдали урезанные прошивки. Это ПЛК с маркировкой на конце -00 или -A, которые Митсубиши поставлял для внутреннего рынка Китая.

[shnegs]

Почему STM32 сразу уязвимы? Это же просто микроконтроллер.

[AntonDorfman]

Имеется ввиду, что ПЛК FX3 построен на базе версий микроконтроллера STM32, в которых нашли уязвимости. И через эти уязвимости в микроконтроллере STM32 достали прошивку самого ПЛК FX3.

[NutsUnderline]

а я видел примеры самопальных прошивок (в исходниках) которые упрощенно реализуют протокол младших ПЛК этого производителя, чтобы их родной софт можно было использовать. Продают же недоПЛК где один контроллер (причем уже даже и не STM) и немного обвязки.

[NutsUnderline]

я вот не очень пнял похоже: протокол вообще не шифрованный, без аутентификации особой и вообще много чего можно натворить просто передавая байты? При этом в описании CVE - сплошняком пароли и хеши.

Это тем более удивительно что прошивку сильно закрыли от считывания. Похоже это не ставило цели повысить защиту информационного обмена, а тупо защита от пиратства

[AntonDorfman]

В вашем комментарии несколько мыслей, попробую ответить по порядку.

протокол вообще не шифрованный

Не шифрованный, как и большинстве промышленными протоколов. В них редко применяется шифрование по следующим причинам.

1. Шифрование может мешать требованиям по надёжности.

2. Предполагается, то оборудование стоит в защищённом периметре.

без аутентификации особой

При этом в описании CVE - сплошняком пароли и хеши.

Этому будет посвящена вторая часть статьи.

вообще много чего можно натворить просто передавая байты?

Если есть знание протокола, нет никакой защиты или она не включена, то можно сделать очень многое.

Это тем более удивительно что прошивку сильно закрыли от считывания.

От считывания она защищена возможностями микрочипа и обновления прошивки зашифрованы. Это частое явление в мире ПЛК, принтеров и различных IoT устройств.

защита от пиратства

Про это тоже будет во второй части статьи.

[mtntx]

интересная статья