View
726
Download
1
Category
Preview:
DESCRIPTION
SCADAの脆弱性とエクスプロイトの可能性とその対策に関する講演である。 講演の中で、SCADAソフトの脆弱性に関するいくつかの疑問点に対して技術的な詳細情報とともに回答する。 疑問点は下記3点; - SCADAアプリはなぜ古いのか? - 脅威の現状とそのインパクトはなにか? - 研究者はどのようにしてそうした脆弱性を検知するのか? 本講演では、有名なSCADA/HMIベンダーに影響を与える可能性のあるSCADA脆弱性に触れ、リバースエンジニアリングやファジングを通してどのようにしてそうした脆弱性を探索するのかを紹介する。 チェリ・ウヌベール - Celil UNUVER チェリ・ウヌベールは、SignalSEC Ltd. のセキュリティリサーチャー兼共同創立者。 セキュリティ会議「NOPcon」の創立者でもある。彼の専門領域は、脆弱性探索と発見、エクスプロイト開発、ペネトレーションテスト、リバースエンジニアリングである。 過去に CONFidence、Swiss Cyber Storm、c0c0n、IstSec、Kuwait Info Security Forum で講演。 彼は、バグハンティングをとても楽しみ、Adobe、IBM、Microsoft、Novell 等の有名ベンダーに影響を与える重大な脆弱性の発見をしている。
Citation preview
SCADA Swiss Cheese ?
Code Blue 2014 , Tokyo Celil ÜNÜVER, SignalSEC Ltd.
• • • SCADA ? • SCADA • SCADA
• SignalSEC Ltd.
• NOPcon ( , )
•
• Adobe,IBM,MicrosoJ,Facebook,Novell,SCADA
• CONFidence, Swiss Cyber Storm, c0c0n
• SCADA !
• SCADA
• 2010 2011 Stuxnet Duqu
• SCADA
• • • SCADA
stuxnet
• stuxnet !
SCADA
ICS
• / : PLC & RTU
• :
( )PLC/RTU
2
!
実際、SCADAのバグを見つけることは本当に簡単だ!!!
?
2010年まで、SCADAソフトウェアには現実的な 脅威は存在しなかった
そのため、開発者はセキュアな開発に思い至ら
なかった
• ! • 1-‐) ( ;
, acXvex .)
• 2-‐)
• 3-‐)
“ ”
-‐ 宮本 武蔵 -‐
Case-‐1: CoDeSys
• CoDeSys
• Exodus Mr.Aaron Portnoy
• :
Case-‐1 : CoDeSys –
•
Case-‐1: CoDeSys –
• recv() • recv()
• recv() ‘buf’
Case-‐1: CoDeSys –
• …
Case-‐1: CoDeSys – Switch Cases /
•
Case-‐1: CoDeSys – Switch Cases
•
Case-‐1: CoDeSys – • Opcode : 13
Case-‐1: CoDeSys –
• Opcode : 6
Case-‐1:
• ” ”☺
•
! •
” ”
• 2013
!? : Progea MOVICON – 0day …
“パッチってパッチじゃないー!”
• 2013 11 23 : Progea MOVICON HMI
• 2013 11 24 : Pastebin.com • 2013 12 3 : ICS-‐CERT
!? : Progea MOVICON – 0day
• 2013 12 5 :
• ICS-‐CERT ;
2011Movicon11.2
No ICS-‐VU-‐896437 No
Progea
• : 2011
• ICSA-‐11-‐056 ;
• !!!!…!!??
!?: Progea MOVICON – 0day
TCPUploadServer.exe
10651/TCP OS
• ”Case-‐1:CoDeSys”
• ”” !
• Code Blueののススタタッッフフととのの協協議議ののももとと、、ここののゼゼロロデデイイににつついいてて、、詳詳細細全全ててををおお話話ししなないいここととととししままししたた
!? : Progea MOVICON – 0day
• 10651 •
switch cases ;
!? : Progea MOVICON – 0day
• : opcode [-‐censored-‐]
!? : Progea MOVICON – 0day
• Opcode [-‐censored-‐] GetVersionExA API
!? : Progea MOVICON – 0day
• PoC ;
!? : Progea MOVICON – 0day
• opcode [-‐censored-‐] :
• printed 6 “dwMajorVersion” GetVersionExA OS
• : 2011 (!) 2014!
!? : Progea MOVICON – 0day
• ? !?
•
• “opcodes” !
• : Opcode 7 GetVersionEx API
• : GetVersionEx API opcode “7” “X” …
!? : Progea MOVICON – 0day
PROGEA, !
• TCP:10651 •
: CoDeSys WebVisu
• CodeSys WebVisu Web Web PLC
• ( ´)!!
•
: CoDeSys
• HTTP
• vsprinp
: Schneider IGSS •
• • (… )
: Schneider IGSS • ( ´)!! • • IGSS 12399 12397 listen • DoS
use IO::Socket; $host = "localhost"; $port = 12399; $port2 = 12397; $first = "\x01\x01\x00\x00"; $second = "\x02\x01\x00\x00";
: Schneider Electric Accutech
HTTP
: Schneider Electric Accutech
: Schneider Electric Accutech
:
: Invensys Wonderware System Plaporm
•
• • ☺
: Invensys Wonderware System Plaporm
• AcXveX
• AcXveX • URL •
: InduSoJ
: InduSoJ
• • “magic”
• TCP:4322
: InduSoJ ☺
• “3S_WebServer” • SHODAN ☺
CoDeSys WebServer on SHODAN
: “3S_WebServer” Shodan : 151
•
• • SCADA
• 応用ソフトウェアはセキュアではない
D • : • cunuver@signalsec.com
• TwiGer: @celilunuver
• www.signalsec.com
• www.securityarchitect.org
Recommended