WAGO有17个型号的PFC200系列PLC容易受到远程攻击

可编程逻辑控制器（PLC）支持着机器人、核能、石油、天然气的生产和运输以及许多其他工业任务的远程自动化。

PLC漏洞可能对生产过程和关键基础设施构成严重威胁，WAGO有17种型号的PFC200系列PLC容易受到远程攻击。

SEC Consult的安全研究人员在固件版本为02.07.07，CODESYS运行时2.4.7.0的PFC200 PLC上发现了一个漏洞。CODESYS运行时，通常包含在PLC中，为用户对PLC编程提供支持。

早在2012年，IOActive的安全研究人员Reid Wightman就发现了CODESYS运行时版本2.3.x和2.4.x中的漏洞，该漏洞允许对运行这些版本的PLC进行未经授权的远程管理。利用这个漏洞，攻击者可以执行特权操作并执行相当于重新编程设备的文件修改。CODESYS运行时3S的作者发布了一个补丁来解决这些漏洞，但供应商和用户需要在受影响的设备上手动打上这个补丁。

前不久，SEC Consult的安全研究人员在CODESYS运行时发现了另一个漏洞，即使在运行早期补丁的系统上也可以进行经过认证的远程访问。CODESYS运行时包含一个以CODESYS的root权限运行的“plclinux_rt”服务。根据SEC Consult研究人员的说法，攻击者可以通过发送特制的数据包来触发以下功能：

• 任意文件读/写/删除（著名的“Digital Bond”工具集对此提供了支持）
• 切换当前PLC中执行的函数
• 循环执行当前PLC程中的任何函数
• 删除当前PLC中的变量列表
• 还有更多的功能...

这似乎足以干扰PLC的运行甚至注入新的PLC代码来执行远程攻击者希望的任何操作。

WAGO已经证实，750-88X系列的PFC2001 PLC和750-810X系列的PFC100 PLC不会受到攻击。

而有17款未公开具体版本信息的PLC受到漏洞影响。

临时的缓解措施包括禁用“plclinux_rt”服务，并将PLC物理隔离。但由于PLC对高可用性要求极高，大多数用户不太可能选择禁用该服务，因此多数的WAGO设备应该会被物理隔离。

然而，通过简单的Censys搜索显示，许多PFC200设备可以通过互联网直接访问（当然这个搜索不能确定这些PLC是否是易受攻击的版本）。

CODESYS运行时被许多供应商广泛部署，在过去几年中已经被曝出多个漏洞。这些漏洞可能有未知的更广泛的影响面。正如SEC Consult所警告的那样，“使用CODESYS 2.3.X/2.4.X运行时的任何供应商的设备都可能具有相同的漏洞。”

原文链接：http://securityaffairs.co/wordpress/66380/hacking/wago-pfc200-plc-flaw.html

本文由看雪翻译小组ljcnaix编译

Satori 僵尸网络苏醒，超过28万Bot僵尸病毒开始蠢蠢欲动

安全研究员发出警告：在过去12个小时，一种新型Satori僵尸网络正在超过28万个IP上十分活跃。

Satori，日语意为“苏醒”，是臭名昭著的Mirai IoT DDoS 恶意软件的一种变体。

Satori变体与Mirai不同，也与Mirai之前所有的变体都不同。

Mirai以前的变体会感染IoT设备，并下载一个远程登录扫描器配件，用来寻找可以感染的设备。

Satori并不会使用扫描器，而使用设备内的两个漏洞，通过37215 端口和52869端口来远程连接设备。

华为设备0day漏洞使危害增大

研究员观测到有263250个不同的IP在扫描37215端口，19403个IP扫描52869端口。在过去半天里，共有超过28万个肉鸡。

如此大规模的僵尸网络引人注意。其原因一大程度上归因于37215端口的0-day漏洞。

目前，该端口尚未被完全关闭。有专家认为，此僵尸网络利用了华为家庭网关路由器中的一个远程代码执行漏洞，这个漏洞曾在11月底被发现。目前，关于此漏洞的细节信息还很少。

另一个52869端口漏洞，这是一个Realtek设备的老漏洞，因此部分设备已打过补丁，逃此一劫。故此端口被感染的数量较前者少些。

Satori与前一Mirai变体有关

安全研究员指出Satori与上个月的一个位于阿根廷，并感染超过10万台机器的bots病毒有关。

目前尚不清楚这两个僵尸网络背后的操纵者是否为同一个人，但研究员称前一Mirai变体与本次僵尸网络共用文件名、数据特征和一些C2协议：

调查仍在进行中，公共蜜罐数据证实了实验室发出的报告。

来源：https://www.bleepingcomputer.com/news/security/satori-botnet-has-sudden-awakening-with-over-280-000-active-bots/
本文由看雪翻译小组 哆啦咪 编译

TeamViewer 修复了一个权限相关的错误

TeamViewer 公司表示，他们在周二发布了一个补丁，用于修复通过共享桌面会话实现未授权控制其它计算机的情况。

这个错误是周一由 Reddit 用户 “xpl0yt” 首先公布的，并给出了漏洞的 PoC。 TeamViewer 证实了 bug 的存在，并在周二首先为 Windows 用户发布了补丁。

此外，这个错误还影响 TeamViewer 的 macOS 和 Linux 版本。该公司高级公关经理 Axel Schmidt 表示，这两个版本的补丁预计会在晚些时候发布。

Arbor Networks 安全研究员 TJ Nelson 和 ASERT 研究小组在分析过 PoC 后表示，这个错误允许攻击者在未经许可的情况下控制用户的会话。

“如果要在服务端进行利用，可以打开 “switch sides” 功能（通常需要客户端确认），并进行设置更改，从而实现客户端计算机的控制。如果在客户端进行利用，那么无论服务端的设置选项是什么，都可以实现服务端的控制。” Nelson 介绍说。

Gellin 在漏洞描述中写道，漏洞的起因是存在一个可以注入的 DLL，它通过 inline hook 和直接修改内存数据的方式来更改 TeamViewer 的权限。要实现漏洞的利用首先要求双方进行身份验证，然后攻击方通过 DLL 注入工具将 PoC 代码注入到自己的进程中。

一旦代码被注入到进程中，就会对内存中的数据进行更改，从而切换会话控制的选项，而之后服务端在授予访问权限前不会对此进行额外的检查。

同时 Gellin 还指出，如果攻击者获得了对目标计算机的未授权控制，那么受害者可以很容易通过结束会话来阻止该行为。不过，在未打补丁前，攻击者可以借助此 bug 让目标计算机的屏幕变暗，从而隐藏恶意的操作。

Schmidt 表示，对于那些设置了自动更新的 TeamViewer 用户，程序会自动安装补丁，没有设置的用户也将收到更新通知。

此外，Nelson 建议用户尽快安装补丁。他解释说：“通常情况下，在修复前这类错误会被广泛的利用。攻击者不再需要欺骗受害者运行恶意软件来实现对系统的控制，他们可以直接利用这个 bug 获取到访问权限。”

原文链接：https://threatpost.com/teamviewer-rushes-fix-for-permissions-bug/129096/

本文由看雪翻译小组 BDomne 编译

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课