工控安全之西门子PLC S7-300漏洞分析与复现

工控安全 2年前 (2022) admin
1,230 0 0


工控安全之西门子PLC S7-300漏洞分析与复现

01


组件介绍





  S7-300是德国西门子公司生产的可编程序控制器(PLC)系列产品之一。其模块化结构、易于实现分布式的配置以及性价比高、电磁兼容性强、抗震动冲击性能好,使其在广泛的工业控制领域中,产品使用了S7Comm协议,该协议是西门子专有的协议,通过模拟数据发包,可以控制PLC的启停,一旦该产品被非法攻击者恶意攻击,会对生产造成巨大的影响。

工控安全之西门子PLC S7-300漏洞分析与复现



工控安全之西门子PLC S7-300漏洞分析与复现


工控安全之西门子PLC S7-300漏洞分析与复现

02


影响范围





  设备信息:西门子 PLC S7-300



工控安全之西门子PLC S7-300漏洞分析与复现


工控安全之西门子PLC S7-300漏洞分析与复现

03


漏洞分析





  正常情况下,PLC设备启动后使用客户端即可进行连接使用:

工控安全之西门子PLC S7-300漏洞分析与复现


  针对该设备的通信协议进行分析,尝试使用S7Comm协议脚本对该设备发送数据包,其中S7Comm(S7 Communication)是西门子专有的协议,是西门子S7通讯协议簇里的一种,如下图是S7Comm协议OSI模型:

工控安全之西门子PLC S7-300漏洞分析与复现

  S7Comm协议主要用于S7-200,S7-300和S7-400 PLC之间的通信,由于该协议未对操作进行校验,且未针对反重放攻击设置有效的保护的机制,因此攻击者通过伪造协议即可执行命令,构造如下脚本即可达成利用(如图是ISF中s7_300_400_plc模块使用的脚本):

工控安全之西门子PLC S7-300漏洞分析与复现

  该脚本模拟S7Comm协议编写了payload,可对西门子PLCS7-300的CPU进行START和STOP的操作。



工控安全之西门子PLC S7-300漏洞分析与复现


工控安全之西门子PLC S7-300漏洞分析与复现

04


模拟攻击





一、环境准备阶段:

由于没有真实的设备进行操作,以下操作皆使用工控模拟器,进行演示:

(1)启动和配置s7模拟器

工控安全之西门子PLC S7-300漏洞分析与复现

  点击serverdemo.exe:

工控安全之西门子PLC S7-300漏洞分析与复现

  配置IP(在真实环境中指S7-300设备运行的IP,此时与本地IP一致),配置完成点击启动:

工控安全之西门子PLC S7-300漏洞分析与复现

(2)加载攻击模块

  在kali中加载ISF(Industrial Exploitation Framework),ISF是一款基于python编写的类似metasploit的工控漏洞利用框架,该框架中内置了s7_300/400 plc的启停脚本(下载地址 https://github.com/dark-lbp/isf):

工控安全之西门子PLC S7-300漏洞分析与复现


二、攻击阶段

  选择s7_300_400_plc_control模块:

工控安全之西门子PLC S7-300漏洞分析与复现

  设置攻击IP,进行攻击:

工控安全之西门子PLC S7-300漏洞分析与复现

  查看s7模拟器状态:

工控安全之西门子PLC S7-300漏洞分析与复现

  CPU:STOP—->OK,攻击成功。


三、真实环境现象

  正常开启的PLC设备,指示灯显示run,呈现绿色:

工控安全之西门子PLC S7-300漏洞分析与复现

  对PLC设备攻击后,设备RUN运行的灯光会从绿色变成黄色STOP停止的灯光,即设备停止运行:

工控安全之西门子PLC S7-300漏洞分析与复现

(设备图片源于网络)



工控安全之西门子PLC S7-300漏洞分析与复现


工控安全之西门子PLC S7-300漏洞分析与复现

05


修复建议





(1)西门子博途系列如S7-1200v4.0和S7-1500使用S7CommPlus协议更加安全;

(2)针对CPU模块中protection选项卡设置密码进行口令保护

(3)采用背景数据块和多重背景的数据传递方式。


本文章仅供学习交流,不得用于非法用途!


工控安全之西门子PLC S7-300漏洞分析与复现


关于我们

         启明星辰知白学院旗下安全实验室,致力于网络安全攻防实战探索与积累、解读前沿安全技术,安全培训课题、提供企业级安全自动化解决方案。


原文始发于微信公众号(河图实验室):工控安全之西门子PLC S7-300漏洞分析与复现

版权声明:admin 发表于 2022年1月14日 上午2:01。
转载请注明:工控安全之西门子PLC S7-300漏洞分析与复现 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...