sábado, 3 de noviembre de 2012

Vulnerabilidad en sistema de seguridad física Siemens Sipass Integrated


El investigador Lucas Apa, de IOActive, ha descubierto una vulnerabilidad en el sistema de control de accesos de Siemens que podría ser usada para ejecutar código arbitrario en el servidor. Esto podría permitir en última instancia desbloquear puertas o desactivar cámaras y alarmas asociadas.

Siemens Sipass Integrated es un sistema centralizado de control de accesos bastante extendido en diversos tipos de instalaciones, tanto empresariales como gubernamentales. Reúne en una sola aplicación para Windows la administración de varios ACCs (Advanced Central Controllers), los dispositivos que controlan directamente los terminales de tarjetas de acceso, además de otros como alarmas infrarrojas o ascensores. Estos ACCs poseen una interfaz Ethernet y se conectan al servidor SiPass enviado mensajes RPC a través del protocolo TCP/IP.


La vulnerabilidad se encuentra en AscoServer.exe, el ejecutable que utiliza SiPass como pasarela con el puerto 4343, que recibe los mensajes IOCP (Input/Output Completion Port) de los ACCs. Cuando uno de estos mensajes llega, se escriben las estructuras necesarias para manejarlo en la memoria compartida por todos los hilos de la aplicación.

Debido a una insuficiente comprobación de la validez de estos mensajes, el servidor podría aceptar aquellos con un contenido manipulado que podrían afectar al servidor y cambiar la forma en la que los procesa, permitiendo escribir datos arbitrarios en la memoria. Esto deja la puerta abierta a la ejecución remota de código arbitrario en el contexto del usuario System, el usado por la aplicación.

Además de tomar el control de la máquina Windows en la que se ejecuta el programa, uno de los posibles escenarios barajados por Apa contempla el eludir las alarmas sonoras o alertas de vídeo que se pudieran asociar a eventos como por ejemplo, forzar una puerta.

Esta vulnerabilidad, que afecta a todos los sistemas Siemens Sipass Integrated anteriores a la versión MP2.6, ya ha sido solucionada mediante un parche para las versiones hasta la MP2.4, mientras que los poseedores de versiones anteriores son alentados a actualizar sus sistemas a las versiones más recientes.

Más información:

SIEMENS Sipass Integrated 2.6 Ethernet Bus Arbitrary Pointer Dereference [pdf]
http://www.ioactive.com/pdfs/SIEMENS_Sipass_Integrated_Ethernet_Bus_Arbitrary_Pointer_Dereference_V4.pdf

SSA-938777: Possible Remote Code Execution in SiPass Server [pdf]
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-938777.pdf
  

Francisco López
flopez@hispasec.com
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017