一、背景介紹

　　2020年7月7日，三菱電機PSIRT(產品安全事故響應小組)研究人員披露了GOT2000系列設備中的一組漏洞，影響其GT27、GT25和GT23系列圖形操作終端。如漏洞成功利用，可使攻擊者能夠實施拒絕服務攻擊或遠程執行代碼。

　　GT23系列是一種基本的，具有成本效益的圖形操作員終端，其中包括VGA分辨率的8.4英寸和10.4英寸顯示器。該系列具有許多高級交互功能。GT25系列是一種高性能且具有成本效益的圖形化操作員終端，其顯示范圍從8.4英寸到12.1英寸，其SVGA和VGA的分辨率取決于型號選擇。GT27系列是高端圖形操作員終端，其顯示范圍從5.7英寸一直到15英寸，根據型號選擇，其分辨率為XGA，SVGA和VGA。它是具有多點觸摸和手勢功能的高級模型，可為用戶提供類似平板電腦的操作。各種各樣的規格和增強的功能有助于適合每個客戶應用程序。這些產品可用在自動化工廠、家電、電力、建筑等行業。

　　日本三菱電機自1921年創立以來，就一直走在技術創新與產品改革的前沿，提供了獨創的環保技術，實現生產、節能、環保一體化的解決方案?？蛻舾采w重電系統、工業自動化系統、信息通訊系統、電子元器件、家用電器等行業。三菱電機在全球多個國家設有分支機構和工廠，其在亞洲就設有66分支個機構。

　　關于此系列漏洞，美國CISA于7月7日發布了安全公告。

二、漏洞概述

　　三菱電機PSIRT研究人員發現的這批漏洞共有6個，漏洞形成原因各異，分別是內存緩沖區范圍內的操作限制不當，會話固定，空指針取消引用，訪問控制不當，參數注入，資源管理錯誤。成功利用這些漏洞可以使攻擊者遠程執行代碼或造成拒絕服務。

　　6個漏洞分別為：

　　n 內存緩沖區范圍內的操作限制不當(CWE-119)-CVE-2020-5595;

　　n 會話固定(CWE-384)-CVE-2020-5596;

　　n 空指針取消引用(CWE-476)-CVE-2020-5597;

　　n 訪問控制不當(CWE-284)-CVE-2020-5598;

　　n 參數分隔符的中和不正確的命令('參數注入')(CWE-88)-CVE-2020-5599;

　　n 資源管理錯誤(CWE-399)-CVE-2020-5560。

　　三菱電機GT27、GT25和GT23(GOT2000系列)中的CoreOS Y及之前版本存在安全漏洞。攻擊者可利用該漏洞訪問敏感資源、導致拒絕服務和設備崩潰。

　　2.1漏洞情況

　　l CVE-2020-5595，內存緩沖區范圍內的操作限制不當，產生在三菱電機GOT2000系列固件(在GT27型、GT25型和GT23型中安裝的-Y及更早版本的CoreOS)中包含的TCP/IP功能包含緩沖區溢出漏洞，該漏洞可能使遠程攻擊者可以停止產品的網絡功能或通過特制數據包執行惡意程序。

　　CVSS v3基本評分為9.8;CVSS向量字符串為(AV: N/AC: L/PR: N/UI: N/S:U/C: H/I: H/A: H)。

　　l CVE-2020-5596，該漏洞可能允許惡意攻擊者導致TCP連接拒絕服務,產生在三菱電機GOT2000系列固件(在GT27型，GT25型和GT23型中安裝的-Y及更早版本的CoreOS)中包含的TCP/IP功能不能正確管理會話，這可能會使遠程攻擊者停止產品的網絡功能或通過特制數據包執行惡意程序。

　　CVSS v3基本評分為7.5;CVSS向量字符串為(AV:N/AC:L/PR:N/U:N/S:U/C:N /I:N/A:H)。

　　l CVE-2020-5597，該漏洞可能使惡意攻擊者導致拒絕服務的狀況并使設備崩潰,產生在三菱電機GOT2000系列固件(在GT27型，GT25型和GT23型中安裝的-Y及更早版本的CoreOS)中包含的TCP/IP功能包含空指針取消引用漏洞，該漏洞可能使遠程攻擊者能夠停止產品的網絡功能或通過特制數據包執行惡意程序

　　CVSS v3基本評分為7.5;CVSS向量字符串為(AV:N/AC:L/PR:N/UI:N/S:U/C:N /I:N/A:H)。

　　l CVE-2020-5598，該漏洞可能允許惡意攻擊者身份驗證訪問敏感資源，導致拒絕服務狀況，并使設備崩潰，產生在三菱電機GOT2000系列固件(在GT27型，GT25型和GT23型中安裝的-Y及更早版本的CoreOS)中包含的TCP/IP功能包含不當的訪問控制漏洞，該漏洞可能允許遠程攻擊者繞過訪問限制并停止產品的網絡功能或通過特制數據包執行惡意程序。

　　CVSS v3基本分數指定為9.8;CVSS向量字符串為(AV:N/AC:L/PR:N/UI:N /S:U/C:H/I:H/A:H)。

　　l CVE-2020-5599，該漏洞可能使攻擊者導致拒絕服務狀況，產生在三菱電機GOT2000系列固件(在GT27型，GT25型和GT23型中的-Y及更早版本的CoreOS)中包含的TCP/IP功能中存在的命令(“參數注入”)相關漏洞，對參數定界符進行了不正確的中和,這可能使遠程攻擊者可以通過特制數據包停止產品的網絡功能或執行惡意程序。

　　CVSS v3基本評分為7.1;CVSS向量字符串為(AV:A/AC:L/PR:N/UI:N/S:U/C:N /I:L/A:H)。

　　l CVE-2020-5560，該漏洞可能使攻擊者獲得敏感信息，產生在三菱電機GOT2000系列固件(在GT27型、GT25型和GT23型中安裝的-Y及更早版本的CoreOS)中包含的TCP/IP功能包含一個資源管理錯誤漏洞，該漏洞可能使遠程攻擊者能夠停止產品的網絡功能或通過特制數據包執行惡意程序。

　　CVSS v3基本評分為5.3;CVSS向量字符串是(AV:N/AC:L/PR:N/UI:N/S:U/C:L /I:N/A:N)。

表1 6個漏洞的基本信息

　　2.2漏洞影響設備及固件版本

　　GOT2000 CoreOS版本-Y和更早版本的以下型號受到影響：GT27型、GT25型、GT23型中均存在這些漏洞。

三、漏洞原理

　　3.1 CVE-2020-5595

　　某些語言允許直接尋址存儲位置，并且不能自動確保這些位置對所引用的存儲緩沖區有效。這可能導致對可能與其他變量，數據結構或內部程序數據相關聯的存儲器位置執行讀取或寫入操作。結果，攻擊者可能執行任意代碼，更改預期的控制流，讀取敏感信息或導致系統崩潰。

　　示例：從用戶處獲取IP地址，驗證其格式正確，然后查找主機名并將其復制到緩沖區。

　　該函數分配一個64字節的緩沖區來存儲主機名，但是不能保證主機名不會大于64字節。如果攻擊者指定了一個解析為超過64字節主機名的地址，則我們可能會覆蓋敏感數據，甚至放棄對攻擊者的控制流。

　　3.2 CVE-2020-5596

　　Web應用程序在不首先使現有會話無效的情況下對用戶進行身份驗證，從而繼續使用已經與該用戶關聯的會話。

　　攻擊者能夠在用戶身上強加一個已知的會話標識符，以便一旦用戶進行身份驗證，攻擊者就可以訪問經過身份驗證的會話。

　　應用程序或容器使用可預測的會話標識符。在會話固定漏洞的一般利用中，攻擊者在Web應用程序上創建一個新會話并記錄相關的會話標識符。然后，攻擊者使受害者使用該會話標識符與服務器關聯，并可能與服務器進行身份驗證，從而使攻擊者可以通過活動會話訪問用戶的帳戶。

　　示例：顯示了J2EE Web應用程序中的代碼段，其中該應用程序使用LoginContext.login()對用戶進行身份驗證，而無需首先調用HttpSession.invalidate()。

　　攻擊者可能首先從公共終端創建會話(也許通過登錄應用程序)，記錄由應用程序分配的會話標識符，然后將瀏覽器重置為登錄頁面。接下來，受害者在同一公共終端上坐下，注意到瀏覽器打開到站點的登錄頁面，并輸入憑據通過該應用程序進行身份驗證。

　　3.3 CVE-2020-5597

　　NULL指針取消引用問題可能通過許多缺陷發生，包括競爭條件和簡單的編程遺漏。

　　示例：程序員假定系統始終定義了名為“ cmd”的屬性。如果攻擊者可以控制程序的環境，從而未定義“ cmd”，則當程序嘗試調用trim()方法時，該程序將引發NULL指針異常。

　　產品在調用函數后不檢查錯誤，如果函數失敗，該函數可以使用NULL指針返回，這將導致結果NULL指針取消引用。

　　3.4 CVE-2020-5598

　　訪問控制涉及多種保護機制的使用，例如：身份驗證(證明參與者的身份)授權(確保給定的參與者可以訪問資源)，以及問責制(跟蹤已執行的活動)。當沒有應用任何機制或以其他方式失敗時，攻擊者可以通過獲取特權，讀取敏感信息，執行命令，逃避檢測等來損害軟件的安全性。

　　3.5 CVE-2020-5599

　　使用內插到字符串中創建命令時，開發人員可能會假定僅處理他們指定的參數/選項。當程序員以防止惡意提供單獨命令的方式(例如在Shell元字符的情況下)對命令進行編碼時，此假設甚至會更強。構造命令時，開發人員可能會使用空格或其他定界符，這些空格或命令定界符用于在命令時分隔參數。但是，如果攻擊者可以提供包含參數分隔符的定界符，則該命令將提供比開發人員預期更多的參數。然后，攻擊者可能能夠更改命令的行為。取決于無關參數所支持的功能，這可能會導致與安全相關的后果。

　　示例：下面的簡單程序接受文件名作為命令行參數，并將文件內容顯示給用戶。該程序被安裝為setuid root，因為它旨在用作學習工具，允許系統管理員接受培訓來檢查特權系統文件，而又不賦予它們修改或損壞系統的能力。

　　3.6 CVE-2020-5560

　　此類別的漏洞與系統資源管理不當有關，該漏洞源于程序在對對象進行釋放操作之前，沒有檢查該對象是否存在。攻擊者可利用該漏洞提升權限并執行代碼。

四、漏洞危害及保護

　　4.1漏洞危害

　　攻擊者成功利用該組漏洞可訪問敏感資源、導致拒絕服務和設備崩潰等。

　　l 攻擊者可以通過利用低技能水平，在目標系統上實現任意代碼執行，導致設備失去控制;

　　l 允許攻擊者通過身份驗證從而訪問敏感資源，導致拒絕服務狀況，并使設備崩潰。

　　4.2防護建議

　　三菱建議用戶按照以下步驟將CoreOS更新到最新版本。

　　l 在個人計算機上安裝MELSOFT GT Designer3(2000)版本1.240A或更高版本;

　　l 啟動MELSOFT GT Designer3并將版本-Z或更高版本的CoreOS復制到SD卡;

　　l 將從個人計算機上卸下的SD卡插入目標產品，然后更新到最新版本的CoreOS。

　　CISA建議用戶采取防御措施以防范漏洞被利用，具體建議包括：

　　l 最小化所有控制系統設備和/或系統的網絡暴露，并確保不能從Internet訪問它們;

　　l 在防火墻后面找到控制系統網絡和遠程設備，并將其與業務網絡隔離;

　　l 當需要進行遠程訪問時，請使用安全方法，例如虛擬專用網(VPN)，并確認VPN是否存在漏洞，應將其更新為可用的最新版本。還應認識到VPN僅與連接的設備一樣安全。

　　CISA提醒組織在部署防御措施之前要進行適當的影響分析和風險評估。

參考資料：

　　1. https://us-cert.cisa.gov/ics/advisories/icsa-20-189-02

　　2. https://nvd.nist.gov/vuln/detail/CVE-2020-5595

　　3. https://nvd.nist.gov/vuln/detail/CVE-2020-5596

　　4. https://nvd.nist.gov/vuln/detail/CVE-2020-5597

　　5. https://nvd.nist.gov/vuln/detail/CVE-2020-5598

　　6. https://nvd.nist.gov/vuln/detail/CVE-2020-5599

　　7. https://nvd.nist.gov/vuln/detail/CVE-2020-5600

　　8. https://cwe.mitre.org/data/definitions/119.html

　　9. https://cwe.mitre.org/data/definitions/384.html

　　10. https://cwe.mitre.org/data/definitions/476.html

　　11. https://cwe.mitre.org/data/definitions/284.html

　　12. https://cwe.mitre.org/data/definitions/88.html

　　13. https://cwe.mitre.org/data/definitions/399.html