CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

工控安全 2年前 (2022) admin
600 0 0

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

Delta Electronics DIAEnergie是中国台湾台达电子(Delta Electronics)公司推出的一款工业能源管理系统。

DIAEnergie v1.9.02.001及更早版本中存在SQL注入漏洞。该漏洞源于FtyInfoSetting.aspx中缺少对外部输入内容的验证。远程未认证攻击者可利用该漏洞执行SQL查询、修改数据库内容等操作。
Part1
漏洞状态
漏洞细节
漏洞POC
漏洞EXP
在野利用

未知
Part2
漏洞描述
漏洞名称

  Delta Electronics DIAEnergie存在 SQL注入漏洞

CVE编号   CVE-2022-43452
漏洞类型 SQL注入
漏洞等级
  8.8高危(High)
公开状态

公开

漏洞描述
DIAEnergie v1.9.02.001及更早版本中存在SQL注入漏洞。该漏洞源于FtyInfoSetting.aspx中缺少对外部输入内容的验证。远程未认证攻击者可利用该漏洞执行SQL查询、修改数据库内容等操作。
时间线
  2022-11-17  CVE发布
受影响版本

DIAEnergie v1.9.02.001及更早版本

Part3
漏洞复现

1.复现环境

靶机:Win10(192.168.117.172)

软件:DIAEnergie v1.9

2.复现步骤

浏览器访问:http://192.168.117.172/FtyInfoSetting.aspx,在厂区数据类型名称处输入“10”,如下图所示:

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

点击“新增”按钮,Burp抓包后请求包保存成文件sql1.txt,放入sqlmap执行,结果发现“txName_t”参数存在注入,可获得数据库版本、数据库库名信息,如下图所示:

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

Part4
漏洞分析
在新增厂区信息过程中,系统会首先根据输入的厂区名称进行数据查重操作,如果不重复才会在数据库中插入一条新的数据,如下图所示:

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

问题就出现在数据查重过程中未对用户输入的内容进行判断而直接拼接至SQL语句中,下面进行具体分析。

当用户点击“新增”按钮后,系统会调用btnBiiAddType_Click()方法,在文件第8行会判断输入的内容是否为空,如果不为空会在第17行将用户输入的“txName_t”赋值给“list”的第二个元素即“list[1]”中,之后在文件第19行调用IsBiiItemExisted()方法,并将“list”数据传入方法,如下图所示:

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

移步至IsBiiItemExisted()方法,该方法的作用是判断输入的数据在数据库中是否已存在,代码如下图所示:

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

在该方法中会执行数据库查询操作,在文件第1179、1180行构造查询语句,如下:

SELECT COUNT(1) FROM DIAE_bii WHERE kid=’list[0]’ AND name=’list[1]’;

通过以上分析可知,“txName_t”的值最终被拼接进 SQL查询语句,导致 SQL 注入漏洞。

Part5
缓解建议

厂商暂未发布漏洞补丁,请联系厂商解决,或采取以下措施降低风险:

1.严格限制数据库访问权限;

2.通过安全设备如WAF进行防御。

SAFE
获取更多情报

联系我们,获取更多漏洞情报详情及处置建议,让企业远离漏洞威胁。
电话:18511745601

邮箱:[email protected]

漏洞分析回顾
CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析


北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。截至2021年底,公司主要产品已应用于数千家“关基”企业,其中工业网络安全态势感知平台已部署4000余家客户,虚实结合工业网络靶场服务超过50家客户。

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

点击“在看”鼓励一下吧

CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

原文始发于微信公众号(安帝Andisec):CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析

版权声明:admin 发表于 2022年12月6日 下午12:01。
转载请注明:CVE-2022-43452:台达电子工业能源管理系统SQL注入漏洞分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...