工控實時操作系統(tǒng)漏洞挖掘本文內容漏洞研究簡介研究環(huán)境準備如何實現(xiàn)自動Fuzz（WDB、崩潰機制）兩個Fuzz實例Vxworks系統(tǒng)組件無法調試問題調查互聯(lián)網(wǎng)上暴露的VxWorksWDBRPC服務?總結 漏洞研究-簡介漏洞研究漏洞利用漏洞研究漏洞利用漏洞分析漏洞挖掘源碼目標代碼未知漏洞探索綜合應用各種技術和工具盡可能的找出潛在的漏洞

漏洞利用補救措施漏洞研究-簡介目標代碼補丁比對安全公告相應補丁前后對比

動態(tài)分析動態(tài)調試尋找可能

靜態(tài)分析指針運算反匯編序列特征庫尋找 發(fā)

FUZZING確認

構造數(shù)據(jù)輸入目標N目標異常?Y記錄實現(xiàn)目標FUZZ平臺實 目現(xiàn) 標VXWORKSSULLEY 組件1組件N環(huán)境準備 FUZZ平臺SULLEYFUZZ平臺SULLEYVXWORKS\h/news/93201.htmlSulley網(wǎng)絡資料

環(huán)境準備 FUZZ平臺SULLEYFUZZ平臺SULLEYVXWORKS美國WindRiver,于1983年設計開發(fā)。已宣稱15億臺設備，使用廣泛支持幾乎所有現(xiàn)代市場上的嵌入式CPU架構

其市場范圍跨越所有的安全關鍵領域火星好奇心流浪者波音787夢幻客機網(wǎng)絡路由器x86、MIPS、PowerPC、SPARC、SH-4、ARM、StrongARM、xScaleCPU

特殊應用場景，高危性質使的VxWorks安全被高度關注。環(huán)境準備 FUZZ平臺SULLEYFUZZ平臺SULLEYVXWORKS無法涉及所有細節(jié)，提供資料以供參考VxWorks5.5VxWorks6.6VmWare上運行VxWorks(5.5) 2011年發(fā)布|frank/knownsec/VxPwnVxWorks漏洞挖掘相關實現(xiàn)目標 FUZZ平臺FUZZ平臺VXWORKS組件1組件N實現(xiàn)自動Fuzzing構造半隨機數(shù)據(jù)

檢測組件狀態(tài)

記錄信息輸入目標組件

獲取組件異常信息 目標組件環(huán)境復原研究線索 2015-9月44CONYannickFormaggio介紹了他對VxWorks安全研究的心得，他采用了Fuzzing框架Sulley對VxWorks系統(tǒng)的多個協(xié)議進行了Fuzzing，挖掘到一些漏洞，并結合VxWorks的WDBRPC實現(xiàn)了一個遠程調試器(監(jiān)視器)。2015-9月44CON實現(xiàn)目標 FUZZ平臺FUZZ平臺監(jiān)視器WDBVXWORKS組件1組件N實現(xiàn)自動Fuzzing輸入目標組件

檢測組件狀態(tài)

記錄信息

WDBRPC協(xié)議 調試接口基于SUN-RPC協(xié)議服務運行在UDP協(xié)議的17185端口上WDBRPC被包含在VxWoksTAgent模塊中版本V1，V2

直接讀寫系統(tǒng)內存感知系統(tǒng)組件狀態(tài)

VXWORKS調試通信框架 TargetOSTargetOSTAgentSerialCommifWDBSerialTServerDebuggerNon-WDBAgentifNon-WDBBackEndWDBRPCOtherToolsShellFUZZ框架思路 TargetOSTAgentTargetOSTAgentSerialCommifWDBSerialTServerDebuggerNon-WDBAgentFUZZifNon-WDBBackWDBRPCVxMon監(jiān)視器OtherToolsShell模擬Debugger與TAgent通信VxMon從TAgent獲得異常通知解決技術難點FUZZ框架 FuzzFuzzTargetOSTAgentNetworkCommifWDBRPCVxMonFUZZ框架FuzzFuzzTargetOSTAgentVxMonWDBPRC請求數(shù)據(jù)包 IPHeaderUDPHeaderRPCRequestHeaderWDBParameterWrapperFunctioninputparameters重點內容：WDBParameterWrapper內容包含整個請求包的大小，校驗和及請求系列號，F(xiàn)unctioninputparameters為請求功能號的攜帶輔助信息。 WDBPRC應答數(shù)據(jù)包 IPHeaderUDPHeaderRPCReplyHeaderWDBReplyWrapperFunctionoutput重點內容：WDBParameterWrapper內容包含整個請求包的大小、校驗和及應答系列號（在每個請求與應答中，應答與請求系列號一致），F(xiàn)unctionoutput包含應答的輸出信息，為請求功能號的返回信息。VxMon與Vxworks通信 V2版本的WDBRPC與V1版本最大的區(qū)別在于，在發(fā)送各類請求（如獲取VxWorks版本BSP信息等的請求WDB_TGT_INFO_GET）時，V1只用發(fā)送對應的請求包即可。而V2維護了一種類似Session的機制，在發(fā)送各類請求前，需要發(fā)送一個連接請求包（WDB_TARGET_CONNECT）以成功連接至TAgent個Session中的多個請求包（包括連接請求包），它們的SUNRPCTransactionID字段及WDBRPC->sequence字段的值需是連續(xù)遞增的，否則就會收到包含錯誤的響應包。建立通信-舉例 FuzzTargetOSFuzzTargetOSTAgentVxMon建立通信-連接請求 建立通信-連接應答 建立通信-獲取信息請求 建立通信-獲取信息應答 在應答包中會含有Vxworks目標機很多信息，如：系統(tǒng)版本大小端內存分配硬件架構等等

崩潰機制檢測 崩潰機制檢測 特征：循環(huán)通知WDB_EVENT_GET包確認崩潰機制檢測-異常信息請求 崩潰機制檢測-異常信息應答 崩潰機制檢測 wdbdbg.py更多... wdbdbg.py接下來主機請求更多的信息，如崩潰時寄存器內容，內存區(qū)域，異常代碼。通過VxMon發(fā)送WDB_REGS_GET請求，可以獲取異常寄處器內容。通過VxMon發(fā)送WDB_MEM_READ請求，可以獲取異常地址的執(zhí)行代碼。FUZZ框架 FuzzFuzzTargetOSTAgentVxMonFTP協(xié)議(TCP/21)FUZZING FTP協(xié)議中很多命令需要在登錄后才能執(zhí)行，我們主要關注未登錄的情況。fuzz的協(xié)議字段節(jié)點圖如下：FTP協(xié)議(TCP/21)FUZZING FTP協(xié)議中很多命令需要在登錄后才能執(zhí)行，我們主要關注未登錄的情況。fuzz結果：6.6版本無影響。5.5連續(xù)發(fā)送極大的FTP請求包時，會造成ringbufferoverflow，導致VxWorks絡通信。該問題也屬于上文中已經(jīng)提到的網(wǎng)絡棧問題，不屬于FTP協(xié)議問題。網(wǎng)絡棧問題 SUNRPC協(xié)議RPCBIND服務FUZZING SUNRPC協(xié)議RPCBIND服務FUZZING Fuzzing結果:5.5及6.6版本均測試出18處崩潰點，（Payload存在Github）通過觀察結果中的寄存器狀態(tài)，都屬于一類，該漏洞僅造成tPortmapd服務崩潰，對其他服務沒有影響。RPCBIND服務問題 rpcbind服務是SUN-RPC的一部分，在VxWorks中該服務監(jiān)聽在tcp/111及udp/111端口，攻擊者向該端口發(fā)送經(jīng)過特殊構造的數(shù)據(jù)包，可使rpcbind任意代碼執(zhí)行。終端會給出錯誤信息，報錯信息如下圖：VXWORKS6.6-調試 VXWORKS5.5-調試問題 VXWORKS5.5-調試問題 VXWORKS5.5-調試問題 VXWORKS5.5-調試問題 VXWORKS5.5-調試問題 暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! WDBRPC的功能如此完備，就成了一把雙刃劍。由于它本身沒有身份認證的功能，因此能夠與VxWorks主機17185用它。如果使用它的是黑客而非開發(fā)調試人員，就可能造成極大危害：監(jiān)視所有組件（服務）狀態(tài)惡意固件刷入、后門植入--探針重啟VxWorks設備任意內存讀寫登陸繞過*...

暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! Kimon在其揭秘VxWorks——直擊物聯(lián)網(wǎng)安全罩門一文中詳盡地介紹了各種利用WDBRPC的攻擊方式，因此不再一一列舉。文中Kimon還給出了z-0ne2015-11關于WDBRPC的全球詳細統(tǒng)計：34000臺暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! TOP10國家分布(V1)90008000

7861700060005000

528340003000

30562000100000

1025 823 647

505 486 481 448國家 中國 美國 巴西 意大利 日本 俄羅斯 墨西哥 哈薩克斯坦 澳大利亞 印

暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! 版本統(tǒng)計(V1)1800016000

1560114000120001000080006000

6583

5410 5254400020000

899 654 236VxWrs5.5.1 VxWrs5.4.2 VxWrs5.4 VxWrs5.4.2 VxWrs5.5 VxWrs VxWrs5..1Cont6暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! 其中受影響的PLC模塊型號：羅克韋爾RockwellAutomation1756-ENBT固件版本為3.2.6、3.6.1及其他西門子SiemensCP1604、SiemensCP1616施耐德SchneiderElectric昆騰部分以太網(wǎng)模塊暴露在互聯(lián)網(wǎng)中的VXWORKSWDBRPCV2服務!!! ZoomEye團隊探測全球IPv4網(wǎng)絡空間結果：52586臺Vxworks主機4000035000300002500020000150001000050000

34000

30339

2155

20093WDBRPCV1(Vxworks5.x)WDBRPCV1(Vxworks5.x) WDBRPCV2(Vxworks6.x) Vxworks

暴露在互聯(lián)網(wǎng)中VXWORKSWDBRPCV2服務!!! 800700

667

國家分布（V2）--ZoomEye6005004003002001000

266228

156 128

73 60 60 59 577印度 烏干達 美國 巴西 不丹 加拿大 納米比亞 盧旺達 南非 韓國 中國暴露在互聯(lián)網(wǎng)中VXWORKSWDBRPCV2服務!!! 版本統(tǒng)計（V2）--ZoomEye200020001800160014001200100080060040020001878250820Vxworks6.6 Vxworks6.7 Vxworks6.8 Vxworks6.9芯片/電路板統(tǒng)計 利用WDBRPCV2，可以嘗試進一步確定使用這些芯片或集成開發(fā)板的設備的品牌或型號，并對這些設備進行進一步控制，玩法與Kimon介紹的WDBRPCV1版本類似，有興趣的同學可以繼續(xù)深入。總結 本次介紹了如何基于Fuzzing框架Sulley實現(xiàn)基于對VxWor