Roaring Access: pre-auth root RCE w RTU Sixnet (Red Lion) — analiza i rekomendacje - Security Bez Tabu

Roaring Access: pre-auth root RCE w RTU Sixnet (Red Lion) — analiza i rekomendacje

Wprowadzenie do problemu / definicja luki

Claroty Team82 opublikował szczegóły dwóch krytycznych podatności (CVSS 10.0) w sterownikach RTU Red Lion Sixnet — rodzinach SixTRAK i VersaTRAK. Połączenie błędów w implementacji protokołu Sixnet Universal (UDR) umożliwia zdalne wykonanie poleceń jako root bez uwierzytelniania (pre-auth root RCE). Producent udostępnił poprawki; CISA wydała odpowiedni komunikat doradczy.

Kontekst / historia / powiązania

CISA opisała problem w ICSA-23-320-01 (16 listopada 2023 r.), wskazując na wpływ na środowiska ICS/OT (energia, woda/ściek, transport, produkcja). Claroty 14 października 2025 r. ujawniło techniczne detale po okresie embarga, gdy poprawki były już dostępne.

Analiza techniczna / szczegóły luki

Warstwa auth w UDR (UDP 1594). Standardowa komunikacja narzędzi konfiguracyjnych (np. Sixnet IO Tool Kit) używa UDR/UDP z wyzwaniem-odpowiedzią opartym o MD5 (hash z username:RTU:password + challenge + index + losowe 4 bajty). Każdy pakiet zawiera odpowiedź auth i jest weryfikowany po stronie RTU.

Błąd #1 — obejście auth (CVE-2023-42770). Ten sam serwis nasłuchuje również na TCP/1594. Implementacja dla TCP przetwarza pakiet bez weryfikacji sufiksu uwierzytelniania, co pozwala ominąć mechanizm auth i wykonać dowolne funkcje UDR jako niezalogowany klient.

Błąd #2 — wykonanie poleceń (CVE-2023-40151). Jedna z funkcji UDR (kody 0xd0 0x1e) umożliwia wykonanie polecenia powłoki Linuksa na RTU; w badanych urządzeniach polecenia uruchamiane są z uprawnieniami root. W połączeniu z obejściem auth po TCP prowadzi to do pre-auth RCE z pełnymi uprawnieniami.

Wnioski z inżynierii wstecznej. Claroty wskazuje różne ścieżki w binarium sxether_client: dla UDP wywoływana jest ścieżka get_message_authenticated(...), natomiast dla TCP — get_message(...), bez walidacji.

Praktyczne konsekwencje / ryzyko

  • Pełne przejęcie RTU: dowolne polecenia jako root (zmiana logiki procesu, sabotaż, trwała persystencja).
  • Ruch rozgłoszeniowy: UDR obsługuje adresowanie rozgłoszeniowe (0xFF), co może ułatwić hurtowe wykonanie komend na wielu RTU w segmencie.
  • Niski próg ataku: zdalny wektor, brak interakcji użytkownika, brak wymaganych uprawnień → szybka eksploatacja po uzyskaniu dostępu sieciowego. (Parametry CVSS na to wskazują).

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowe aktualizacje firmware’u SixTRAK/VersaTRAK do wersji wskazanych przez Red Lion / HMS.
  2. Segmentacja i kontrola dostępu:
    • Zablokuj TCP/1594 na granicach segmentów OT; dopuszczaj tylko autoryzowane stanowiska inżynierskie i preferuj UDP/1594 wyłącznie w sieciach zaufanych.
    • Trzymaj RTU za zaporami i poza bezpośrednim dostępem z Internetu (zalecenie CISA).
  3. Monitorowanie/detekcja:
    • Reguły IDS/IPS na połączenia TCP do 1594 oraz charakterystyczne ramki UDR (nagłówek 6-bajtowy, CRC 0x1D0F).
    • Alarmuj na pakiety z destination 0xFF (broadcast UDR).
  4. Twardnienie urządzeń:
    • Wyłącz/ogranicz funkcję zdalnego wykonania poleceń, jeśli urządzenie/wersja na to pozwala; wymuś silne uwierzytelnianie i polityki haseł dla kont Sixnet. (na bazie zaleceń producenta/CISA).
  5. Higiena podatności:
    • Utrzymuj proces zarządzania CVE, sprawdzając NVD/CISA i biuletyny HMS pod kątem kolejnych aktualizacji.

Różnice / porównania z innymi przypadkami

  • Wzorzec „UDP bezpieczny / TCP nie”: rzadki, ale groźny — ta sama logika protokołu zaimplementowana różnie w dwóch stosach transportowych; połączenie z funkcją remote shell eskaluje wpływ do CVSS 10.0.
  • W OT to nie tylko „błąd aplikacji”: funkcja utrzymaniowa (zdalny shell) bywa akceptowalna operacyjnie, ale musi być osłonięta spójną kontrolą auth niezależnie od transportu.

Podsumowanie / kluczowe wnioski

  • Kombinacja CVE-2023-42770 (bypass auth TCP) i CVE-2023-40151 (remote shell jako root) daje pre-auth RCE na RTU Sixnet.
  • Zaktualizuj teraz i odetnij TCP/1594; egzekwuj segmentację sieci oraz monitoruj anomalie UDR.
  • Traktuj narzędzia inżynierskie i protokoły utrzymaniowe jako krytyczne powierzchnie ataku w ICS/OT.

Źródła / bibliografia

  1. Claroty Team82 — pełna analiza techniczna („Roaring Access”, 14 października 2025). (Claroty)
  2. CISA ICSA-23-320-01 — Red Lion SixTRAK / VersaTRAK RTU (16 listopada 2023). (CISA)
  3. NVD — CVE-2023-42770 (auth bypass, CVSS 10.0). (NVD)
  4. NVD — CVE-2023-40151 (remote shell jako root). (NVD)
  5. HMS Networks — strona biuletynów bezpieczeństwa / aktualizacje Red Lion. (hms-networks.com)