Lua 运行时漏洞可能威胁工业系统安全

摘要：新发现的漏洞 CVE-2025-41688 允许高权限远程攻击者绕过广泛使用的 OT 远程访问设备中的所有沙盒限制。该设备在欧洲工业环境中备受信赖，用于维护 PLC（可编程逻辑控制器）、HMI（人机界面）和现场设备。该漏洞可通过未记录的 Lua 运行时命令利用

新发现的漏洞 CVE-2025-41688 允许高权限远程攻击者绕过广泛使用的 OT 远程访问设备中的所有沙盒限制。该设备在欧洲工业环境中备受信赖，用于维护 PLC（可编程逻辑控制器）、HMI（人机界面）和现场设备。该漏洞可通过未记录的 Lua 运行时命令利用，该命令允许以 root 身份执行任意操作系统命令。

OT 和 IIoT 安全顾问Marcel Rick-Cen上周在 Medium 上撰文称： “它运行嵌入式 Linux，公开 Web 界面，并提供 Lua 脚本用于自动化和诊断。该设备Lua 运行时中存在一个严重漏洞——一个未公开的函数——可以绕过所有沙盒限制，允许以 root 权限执行任意操作系统命令。这个本应受控的自动化功能，实际上却直接导致了设备的全面接管。”

Rick-Cen解释说，受影响的设备系列，尤其是已停产的mbNet HW1，仍然广泛部署在多个领域。尽管供应商建议更换硬件，但他指出，在许多环境中，更换硬件需要数年时间才能完成。

该漏洞通过一个未记录的 Lua 函数将沙盒逃逸与命令注入结合在一起，允许通过 Web 界面执行任意 root 命令。虽然需要 Web 登录，但在几种测试配置中仍然可以接受默认凭据。即使这些设备已停产，继续使用仍会带来重大风险。

他建议运行 5.1.11 版之前固件的 mbNet HW1 设备的操作员立即对其进行分段，审核脚本访问，并假设任何暴露的 Lua 接口都可以被利用进行升级。

披露时间线显示，该漏洞于今年7月6日被发现，并于次日报告给厂商，2025年7月31日公开披露该漏洞。

漏洞报告指出，供应商提供了一个云门户，方便设备管理和初始配置文件的创建。用户通过该门户生成这些配置文件，然后将其传输到U盘上。要设置设备，须在设备关机状态下将此U盘插入设备的USB接口。设备开机后，它会从U盘读取配置文件，从而连接到互联网并在云门户上注册。

Rick-Cen写道：“一旦注册，所有设备管理任务都可以通过云门户远程进行。对于本地管理，可以访问设备的嵌入式Web服务器，从而提供一种直接在设备级别进行配置和监控的替代方法。”

他补充说，基于 Web 的界面提供了一系列工具，包括诊断、日志记录和脚本编写。其中一项功能是基于 Lua 的脚本环境，最初设计用于数据聚合（例如，从 PLC 或传感器提取值并将其推送到云门户）。

Rick-Cen 表示：“初步检查后，Lua 环境似乎被沙盒化了。os[dot]execute、io[dot]open 和 io[dot]popen 等标准系统函数没有返回任何结果，或者完全不存在。”

为了评估哪些内容仍可访问，他转储了 Lua 全局注册表并检查了嵌套表，结果却非标准。直接测试该函数后，输出结果证实该函数正在执行任意操作系统级 Shell 命令，执行以 root 用户身份进行，并且通过未记录的内部绑定轻松绕过了标准 Lua 沙盒。

为了简化命令执行，Rick-Cen 开发了一个 Python 脚本 shell[dot]py，它将 Lua 接口转换为伪交互式 shell。

该工具通过模拟“保存”操作自动提交 Lua 有效负载。然后，它通过第二个 POST 请求触发“运行”或“重新加载”来执行脚本。最后，它通过 GET 请求检索并清理 Lua 输出 HTML。Lua 字段会引入 2 到 3 秒的执行延迟，但该方法仍然稳定有效。

一旦站稳脚跟，攻击者便可执行反向 Shell 命令。他们还可以使用 ls、cat、cp 或 wget 等命令遍历整个文件系统。攻击者可以窃取配置文件、重启或修改服务，甚至还可以利用 BusyBox 等其他二进制文件（如果存在）。

Rick-Cen 表示，“考虑到该设备放置在工业环境中，破坏该接口可能会导致持续的远程代码执行、转向其他主机以及篡改 VPN 或 PLC 路由逻辑。”

该漏洞已向 MB Connect Line 披露并得到确认。然而，MDH849 已正式停产。问题在于“工业组织OT 环境的硬件淘汰速度与 IT 行业不同。这类设备会持续部署 10 多年，通常缺乏更新、分段或补丁可见性。换句话说：这种漏洞仍然在野外存在。”

IT安全标准要求产品定期升级和补丁更新，而OT系统则面临截然不同的限制，硬件生命周期通常超过20年，而且由于操作关键性，变更或补丁更新窗口受到限制。许多系统还依赖于特定于供应商的认证或监管要求，从而限制了快速更新。

Rick-Cen 呼吁各组织认识到，工业系统中的嵌入式脚本接口通常测试不足且权限过高。诸如 misc_exec 之类未记录的本机绑定代表着潜在的后门，无论有意还是无意。那些被认为“设计安全”的设备经常会暴露管理功能，从而破坏其本应执行的安全控制。

他指出：“如果你正在操作或管理 mbNet HW 1（固件版本低于 5.1.11）设备，现在就对它们进行隔离。审核脚本访问。并假设任何暴露的接口都可以升级。”

详细技术报告：

https://medium.com/@marcel.rickcen/cve-2025-41688-bypassing-restrictions-in-an-ot-remote-access-device-de5302c98a23

来源：会杀毒的单反狗

标签：工业漏洞 dot lua 云门户

本文地址：http://news.43b.com.cn/a/780405.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!

相关推荐