变频器:SIMATIC CU240E-2 PN
发现阶段:
交互流程
1、PLC(MAC地址:ec:1c:5d:02:52:53)发送组播,以在网络中宣告PLC。
2、变频器(MAC地址:00:1c:06:92:04:8c)接收到组播数据后,向PLC发送响应信息,其中包含变频器的一些基础信息和配置请求。
协商阶段:
PLC(IP地址:192.168.2.22)和变频器(IP地址:192.168.2.23)通过PNIO-CM协议(依赖UDP)进行配置信息协商。
关键字段如下:
第一个PNIO-CM数据包指出了运行阶段中发送控制数据的设备MAC地址。
运行阶段:
运行阶段通过PNIO协议进行交互。
1、PLC发送给变频器的控制数据包含停止和运行两种状态,控制数据使用协商的控制指令标识符0x8020(红框)。停止状态的控制数据使用标识0x60(黄框),且控制指令(蓝框)和频率(绿框)均为0。
运行状态的控制数据使用标识0x80,控制指令为0x047f,频率为调节的频率数值。
2、变频器发送给PLC的响应数据只有一种状态,响应数据使用协商的响应指令标识符0x8000(红框)。响应数据中包含标识变频器当前运行状态的指令(蓝框),和变频器的当前转速(绿框)。
PLC发送停止状态命令后的响应:
PLC发送运行状态命令后的响应:
1、发现阶段伪造ARP请求发送给PLC和变频器,使协商阶段数据流经攻击者机器。
2、协商阶段修改PLC和变频器交互数据中的关键MAC地址,使运行阶段数据流经攻击者机器。
联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601
漏洞分析回顾
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。截至2021年底,公司主要产品已应用于数千家“关基”企业,其中工业网络安全态势感知平台已部署4000余家客户,虚实结合工业网络靶场服务超过50家客户。
点击“在看”鼓励一下吧
原文始发于微信公众号(安帝Andisec):仿伊朗核电欺骗攻击-PROFINET协议中间人攻击复现
