施耐德工控软件EcoStruxure Operator Terminal Expert代码执行漏洞深入分析<\/h1>

漏洞概述<\/h2>
本文详细分析施耐德电气公司EcoStruxure Operator Terminal Expert软件（前称Vijeo XD）V3.1.100.267(SP 1)及之前版本中存在的两个关键漏洞组合利用实现代码执行的技术细节。攻击者可通过诱骗用户打开特制的项目文件（.VXDZ格式），在应用程序上下文中实现任意代码执行。<\/p>

受影响版本<\/h2>

EcoStruxure Operator Terminal Expert V3.1.100.267(SP 1)及之前所有版本<\/li>

对应CVE编号：CVE-2020-7494与CVE-2020-7496<\/li> <\/ul>

漏洞背景<\/h2>
EcoStruxure Operator Terminal Expert是用于设计人机界面(HMI)设备图形用户界面的软件环境，这些界面用于控制工业部署中可编程逻辑控制器(PLC)的操作。<\/p>

项目文件结构<\/h3>

项目文件扩展名为.VXDZ，实质是一个压缩目录<\/li>

包含多种文件类型：

.db<\/code>：SQLite3数据库文件，存储项目配置和设置<\/li>

.inf\/.dat<\/code>：JSON文件，存储数据和设置（如屏幕及其图形组件）<\/li>
<\/ul>
<\/li>
<\/ul>
项目文件打开时会被解压到临时目录：<\/p>
C:\users\USER\AppData\Local\EcoStruxure\Temp\Schneider\CURRENT_VERSION_FULL\GUID\ProjectFiles
<\/code><\/pre>
其中GUID每次打开项目时随机生成，路径无法预测。<\/p>
漏洞技术细节<\/h2>
漏洞1：路径遍历导致的DLL加载原语（CVE-2020-7496）<\/h3>
驱动程序机制<\/h4>

HMI需要通过驱动程序与PLC通信<\/li>
驱动程序信息存储在项目目录中的DriverConfig.db<\/code>SQLite3数据库<\/li>
数据库包含三个关键表：

Driver_X<\/code>：空表<\/li>
Driver_X_Configuration_X<\/code>：驱动程序详细信息，包括要加载的DLL名称（ModuleName<\/code>字段）<\/li>
Driver_X_Equipment_X<\/code>：PLC详细信息（IP地址、型号、协议等）<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞成因<\/h4>

软件从ModuleName<\/code>字段加载驱动程序DLL时未正确过滤路径遍历字符（如..\/..\/..\/<\/code>）<\/li>
攻击者可构造特制的ModuleName<\/code>值跳出预定义目录，加载任意DLL<\/li>
<\/ul>
限制条件<\/h4>

需要存在与DLL同名的driver.xml<\/code>文件<\/li>
DLL必须位于同名目录中（如Claroty\Claroty.dll<\/code>）<\/li>
<\/ol>
漏洞2：SQLite信息泄露（CVE-2020-7494）<\/h3>
问题描述<\/h4>
软件加载用户控制的数据库后，未对查询数据进行适当安全过滤，导致可通过SQLite特殊功能泄露敏感信息。<\/p>
关键技术<\/h4>


PRAGMA语句<\/strong>：<\/p>

SQLite特有的扩展语句，可查询内部数据<\/li>
SELECT file FROM pragma_database_list<\/code>可获取当前加载数据库的完整路径<\/li>
<\/ul>
<\/li>

数据库视图(VIEW)<\/strong>：<\/p>

存储查询的结果集，查询时动态生成<\/li>
可实时修改返回给客户端的数据<\/li>
<\/ul>
<\/li>
<\/ol>
组合利用实现RCE<\/h2>
攻击步骤<\/h3>


准备恶意项目文件<\/strong>：<\/p>

创建包含以下文件的ClarotyModule<\/code>目录：

Driver.xml<\/code>（合法驱动描述文件）<\/li>
ClarotyModule.dll<\/code>（恶意DLL）<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

构造特制数据库<\/strong>：<\/p>

将原Driver_0_Configuration_0<\/code>表重命名为Driver_0_Configuration_0_ORIG<\/code><\/li>
创建名为Driver_0_Configuration_0<\/code>的VIEW表<\/li>
配置VIEW表在查询ModuleName<\/code>时返回SELECT file FROM pragma_database_list<\/code>的结果，并添加适当的路径遍历字符<\/li>
<\/ul>
<\/li>

打包项目文件<\/strong>：<\/p>

将构造的文件和目录打包为.VXDZ格式<\/li>
<\/ul>
<\/li>

诱骗用户打开<\/strong>：<\/p>

当受害者双击项目文件时：

文件解压到随机临时目录<\/li>
软件查询数据库获取ModuleName<\/code><\/li>
VIEW实时生成包含实际解压路径的ModuleName<\/code><\/li>
软件加载恶意DLL执行攻击者代码<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
技术要点<\/h3>

利用VIEW实时生成包含当前临时目录路径的ModuleName<\/code><\/li>
通过路径遍历从临时目录导航到恶意DLL位置<\/li>
绕过.NET zip库的路径遍历防护（仅限制解压过程）<\/li>
<\/ul>
漏洞修复<\/h2>
施耐德电气已发布补丁修复这两个漏洞，建议用户升级到最新版本。<\/p>
防御建议<\/h2>

及时更新到已修复版本<\/li>
不要打开来源不明的项目文件<\/li>
实施最小权限原则，限制软件运行权限<\/li>
监控异常进程行为，特别是DLL加载活动<\/li>
<\/ol>
总结<\/h2>
该漏洞组合利用了两个关键问题：<\/p>

未过滤路径遍历字符导致的任意DLL加载<\/li>
SQLite功能滥用导致的信息泄露<\/li>
<\/ol>
通过精心构造数据库视图和路径遍历，攻击者能够绕过临时目录随机性的限制，最终实现可靠的代码执行。这凸显了工业控制系统软件中输入验证和安全过滤的重要性。<\/p>

施耐德工控软件EcoStruxure Operator Terminal Expert代码执行漏洞深入分析<\/h1>

漏洞背景<\/h2> EcoStruxure Operator Terminal Expert是用于设计人机界面(HMI)设备图形用户界面的软件环境，这些界面用于控制工业部署中可编程逻辑控制器(PLC)的操作。<\/p>

漏洞技术细节<\/h2>

漏洞1：路径遍历导致的DLL加载原语（CVE-2020-7496）<\/h3>

漏洞2：SQLite信息泄露（CVE-2020-7494）<\/h3>

问题描述<\/h4> 软件加载用户控制的数据库后，未对查询数据进行适当安全过滤，导致可通过SQLite特殊功能泄露敏感信息。<\/p>

组合利用实现RCE<\/h2>

漏洞修复<\/h2> 施耐德电气已发布补丁修复这两个漏洞，建议用户升级到最新版本。<\/p>

漏洞背景<\/h2>
EcoStruxure Operator Terminal Expert是用于设计人机界面(HMI)设备图形用户界面的软件环境，这些界面用于控制工业部署中可编程逻辑控制器(PLC)的操作。<\/p>

问题描述<\/h4>
软件加载用户控制的数据库后，未对查询数据进行适当安全过滤，导致可通过SQLite特殊功能泄露敏感信息。<\/p>

漏洞修复<\/h2>
施耐德电气已发布补丁修复这两个漏洞，建议用户升级到最新版本。<\/p>