{"id":15813,"date":"2018-02-09T18:45:05","date_gmt":"2018-02-09T17:45:05","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=15813"},"modified":"2021-05-02T19:22:07","modified_gmt":"2021-05-02T18:22:07","slug":"fun-with-modbus-0x5a","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2018\/02\/fun-with-modbus-0x5a\/","title":{"rendered":"Fun with Modbus 0x5A"},"content":{"rendered":"
<\/div>\n
\n
\"\"<\/figure>\n

Lors de la derni\u00e8re \u00e9dition de la DEFCON, nous avons pr\u00e9sent\u00e9 nos travaux de R&D concernant un protocole propri\u00e9taire Schneider \u00e0 l\u2019ICS Village, espace d\u00e9di\u00e9 \u00e0 la s\u00e9curit\u00e9 des SI industriels.<\/p>\n<\/div>\n

Vous pouvez retrouver notre intervention en vid\u00e9o :\u00a0https:\/\/www.youtube.com\/watch?v=A_B69Rifu1g<\/a><\/div>\n
Revenons sur ces travaux et la mani\u00e8re dont ils peuvent \u00eatre exploit\u00e9s.<\/div>\n
\n

 <\/p>\n

Le protocole Modbus<\/h2>\n<\/div>\n
Le protocole Modbus est un standard de communication utilis\u00e9 dans les SI industriels. D\u00e9velopp\u00e9 dans les ann\u00e9es 70 sur liaison s\u00e9rie RS-485, il est d\u00e9sormais tr\u00e8s r\u00e9pandu dans sa version TCP utilisable sur une liaison Ethernet classique.<\/div>\n
Le protocole Modbus d\u00e9fini un certain nombre de fonctions, qui servent majoritairement \u00e0 lire\/\u00e9crire des donn\u00e9es sur un automate programmable industriel.<\/div>\n
<\/div>\n
\n
root@kali:mbtget-master# .\/mbtget -r3 -a 0 -n 8 192.168.0.110\r\nvalues:\r\n  1 (ad 00000):     1\r\n  2 (ad 00001):     0\r\n  3 (ad 00002):     0\r\n  4 (ad 00003):     1\r\n  5 (ad 00004):     0\r\n  6 (ad 00005):     0\r\n  7 (ad 00006):     0\r\n  8 (ad 00007):     0<\/pre>\n<\/div>\n
Lecture de donn\u00e9es Modbus avec le programme \u00ab mbtget \u00bb<\/i><\/div>\n
 <\/p>\n
D\u2019autres fonctions Modbus existent, comme l\u2019indique ce tableau provenant du standard officiel :<\/div>\n
\n
\"\"<\/figure>\n<\/div>\n
\n
Sp\u00e9cifications du protocole Modbus (http:\/\/www.modbus.org\/docs\/Modbus_Application_Protocol_V1_1b3.pdf)<\/i><\/div>\n<\/div>\n
 <\/p>\n
Il est possible d\u2019identifier la liste des fonctions Modbus support\u00e9es par un automate, par exemple avec l\u2019outil smod:<\/div>\n
\n
root@kali:~\/smod# python smod.py \r\n< SMOD >\r\n ------- \r\n        \\   ^__^\r\n         \\  (xx)\\_______\r\n            (__)\\       )\\\/\\\r\n             U  ||----w |\r\n                ||     ||\r\n          --=[MODBUS Penetration Test FrameWork\r\n       --+--=[Version : 1.0.4\r\n       --+--=[Modules : 23\r\n       --+--=[Coder   : Farzin Enddo\r\n          --=[github  : www.github.com\/enddo\r\n\r\nSMOD > use modbus\/scanner\/getfunc\r\nSMOD modbus(getfunc) > show options\r\n Name     Current Setting  Required  Description                                 \r\n ----     ---------------  --------  -----------                                 \r\n Output   True             False     The stdout save in output directory         \r\n RHOSTS                    True      The target address range or CIDR identifier \r\n RPORT    502              False     The port number for modbus protocol         \r\n Threads  1                False     The number of concurrent threads            \r\n UID      None             True      Modbus Slave UID.                           \r\nSMOD modbus(getfunc) > set RHOSTS 192.168.0.110\r\nSMOD modbus(getfunc) > set UID 1\r\nSMOD modbus(getfunc) > exploit\r\n[+] Module Get Function Start\r\n[+] Looking for supported function codes on 192.168.0.110\r\n[+] Function Code 1(Read Coils) is supported.\r\n[+] Function Code 2(Read Discrete Inputs) is supported.\r\n[+] Function Code 3(Read Multiple Holding Registers) is supported.\r\n[+] Function Code 4(Read Input Registers) is supported.\r\n[+] Function Code 5(Write Single Coil) is supported.\r\n[+] Function Code 6(Write Single Holding Register) is supported.\r\n[+] Function Code 8(Diagnostic) is supported.\r\n[+] Function Code 15(Write Multiple Coils) is supported.\r\n[+] Function Code 16(Write Multiple Holding Registers) is supported.\r\n[+] Function Code 22(Mask Write Register) is supported.\r\n[+] Function Code 23(Read\/Write Multiple Registers) is supported.\r\n[+] Function Code 43(Read Device Identification) is supported.\r\n[+] Function Code 90 is supported.<\/pre>\n<\/div>\n
 <\/p>\n
On peut ainsi utiliser les fonctions de diagnostique pour identifier pr\u00e9cis\u00e9ment l\u2019automate, en l\u2019occurrence un Schneider M340 :<\/p>\n
\n
\n
\"\"<\/figure>\n<\/div>\n
\n
 <\/p>\n
La fonction Modbus 0x5a<\/h2>\n<\/div>\n
\n
Historique<\/h3>\n<\/div>\n
L\u2019utilisation du protocole Modbus pour la programmation des automates Schneider a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e publiquement gr\u00e2ce aux travaux du projet Basecamp lors de la c\u00e9l\u00e8bre conf\u00e9rence S4, d\u00e9di\u00e9e \u00e0 la s\u00e9curit\u00e9 des SI industriels : http:\/\/www.digitalbond.com\/blog\/2012\/01\/19\/project-basecamp-at-s4\/<\/a><\/div>\n
Vous pouvez retrouver les vuln\u00e9rabilit\u00e9s identifi\u00e9es sur les syst\u00e8mes Schneider (et bien d\u2019autres) dans la pr\u00e9sentation de Reid Wightman : https:\/\/youtu.be\/dtadMIN3CCc?t=35m29<\/a>s<\/div>\n
Nous avions d\u00e9j\u00e0 \u00e9voqu\u00e9 cette fonctionnalit\u00e9 dans notre article d\u00e9di\u00e9 au pentest d\u2019automates dans le magazine MISC 74 . Il suffit d\u2019observer les trames r\u00e9seau \u00e9chang\u00e9es entre Unity Pro et l\u2019automate lors de sa programmation pour identifier que c\u2019est le protocole Modbus qui est utilis\u00e9, via une fonction non-document\u00e9e (90) :<\/div>\n
 <\/p>\n
\n
\n
\"\"<\/figure>\n<\/div>\n
Capture r\u00e9seau des \u00e9changes entre le logiciel de programmation et un automate Schneider<\/i><\/div>\n
 <\/p>\n<\/div>\n
Comme les autres fonctions Modbus, il n\u2019existe aucun m\u00e9canisme de s\u00e9curit\u00e9 pour ce protocole de programmation : il suffit d\u2019avoir un acc\u00e8s r\u00e9seau sur le port TCP 502 d\u2019un automate pour pouvoir r\u00e9aliser des actions d\u2019administration.<\/div>\n
 <\/p>\n
\n
R\u00e9cup\u00e9ration du programme automate<\/h3>\n<\/div>\n
La r\u00e9cup\u00e9ration du programme de l\u2019automate n\u2019\u00e9tait, en tout cas dans nos tests, pas totalement fonctionnelle dans le module publi\u00e9 lors du projet Basecamp. Nous avions pu le modifier l\u00e9g\u00e8rement afin de prendre en compte des programmes de taille plus importante. Nous avons simplement eu \u00e0 modifier un compteur pour la rendre fonctionnelle. D\u00e9taillons son utilisation.<\/div>\n
\n