読者です 読者をやめる 読者になる 読者になる

丸見え|ガス燃料 SCADA

※ WOOYUN 公開情報より転載引用

チャイナ・リソース社が某市(毛主席の故郷に限りなく近い)に提供したガス燃料 SCADA システムがインターネットから接続可能な上、 Struts2 の脆弱性で中身が丸見えな状態に。

かなりよろしくない状態ですが、WOOYUNがベンダ通知(3/24)したにもかかわらずベンダは「無視」=対応しないことを決め込んだ模様なので、WOOYUNは3/29に内容公開に踏み切りました。

f:id:alienware:20160404000719p:plain

チャイナ・リソース=华润(集团)有限公司(China Resources (Holdings) Co.,Ltd.)の設立は1938年迄たどり着き、はかつて共産党中央事務局・中央貿易部(いまの商務部)に所属していた国営企業であり、不動産/電力/セメント/天然ガス/医療/金融/公共事業などの分野に展開しています。
今回の华润燃气(HK1193)は香港で上場している5関連企業の一つであり、フォーブス誌では世界企業ランキングで115位にランクされているほどの大企業です。

f:id:alienware:20160404000851p:plain

・华润燃气
http://www.crcgas.com/

 

■WOOYUNに届けられた内容

(引用分は画像下に標記)

 

さて某グローバルIPに接続するとこのような画面が。
xxx.xxx.xxx.xxx:5902/cs/main.jsp

f:id:alienware:20160404001000p:plain

しっかりと SCADAシステムのログイン画面が出ました。

 

さてJSP ということで、 struts2 脆弱性ツールで覗いてみると。。。中身が見える見える。パッチ当ててないですね。

f:id:alienware:20160404001302p:plain

 

コマンド(windows)も実行できちゃいます。

f:id:alienware:20160404001321p:plain

 

幾つか変わった名前のユーザもありました。公開されてから覗きに入った方々が残していったものの模様。

f:id:alienware:20160404001400p:plain

 

 

ここまでくるとDBのパスxxxxも見えてしまったような。。。

f:id:alienware:20160404001716p:plain

(wooyun.orgより引用)

 

さてユーザを作成し、堂々と正面よりログイン。もはやモザイクをかける意味はあまりないですが。。念のため。

電源/温度計/圧力計/ガス漏洩探知/緊急バルブ/ガス液面計・・・・もろにみえます

f:id:alienware:20160404002007p:plain

(wooyun.orgより引用)

 

IT化がここまで進められてるのには感服しますが、外部からアクセス可能に設定する必要性は本当にあるのでしょうか?

f:id:alienware:20160404002414p:plain

(wooyun.orgより引用)

 

ModBus のデータ受信とデータ送信が見えましたが。。。もはや見られるくらいいいだろう、を超えて SCADA を操作されてもいいだろう、の域に入っちゃってます。

f:id:alienware:20160404002804p:plain

(wooyun.orgより引用)

 

■あとがき

WOOYUN本サイトへの直リンクはあえて省略させていただきましたが、ご興味のある方は検索エンジンで探してみてください。

それにしても、フォーブス世界企業ランキング115位の企業がこのような対応(脆弱性を放置)。大企業に見られる通病として、時として風通しがかなり悪くなるのも致し方無いのですが、 WOOYUNのような圧力団体の気苦労も伺えます。