警惕许可管理器:施耐德电气软件漏洞如何将工业设施置于风险之中
导语
近日,卡巴斯基 GReAT 团队披露了施耐德电气浮动许可管理器(Schneider Electric Floating License Manager)中存在的高危漏洞 CVE-2024-2658。该漏洞属于 CWE-427 不受控搜索路径元素漏洞,允许本地低权限攻击者通过构造恶意 OpenSSL 配置文件,向 lmadmin.exe 核心服务进程注入恶意 DLL,最终实现从本地普通用户到 NT AUTHORITY\SYSTEM 的完整提权链。由于该软件广泛应用于 PLC 编程、SCADA 模块和集中控制室等工业自动化场景,一旦被利用,攻击者可横向移动至工程工作站,严重威胁整个工业控制网络的安全。
漏洞概述
CVE-2024-2658 于 2024 年被发现,影响施耐德电气浮动许可管理器中集成的 FlexNet Publisher 组件(版本 ≤ 11.19.6.0)。该组件是 Flexera Software 的第三方商业产品,被众多工业解决方案集成用于产品许可管理。
漏洞根源在于 lmadmin.exe 进程在初始化 OpenSSL 时,引用了一个硬编码的配置文件路径,且未对该路径施加适当的访问控制:
C:\cygwin\home\nightly\LMADMI~1.4\tier1\lmadmin\contrib\openssl\_RELEA~1\openssl\openssl.cnf
由于 Windows 默认 NTFS 权限允许 Authenticated Users 组在 C:\ 根目录创建文件夹,任何本地非管理员用户均可手动重建上述目录结构,并在其中放置恶意 openssl.cnf 文件。
攻击链路分析
该漏洞的利用分为以下阶段:
第一阶段:目录构造与载荷部署
低权限攻击者在 C:\ 下逐级创建与硬编码路径完全一致的目录结构,随后在 openssl.cnf 的 [engine] 节中设置 dynamic_path 参数指向攻击者控制的恶意 DLL:
dynamic_path = C:\Users\public\malicious.dll
第二阶段:服务重启触发加载
lmadminSchneider 服务通过以下任一条件重启后,FlexNet Publisher 初始化 OpenSSL 并解析 openssl.cnf:
- 主机常规重启
- 具有服务重启权限的用户手动操作(默认 Authenticated Users 无此权限)
第三阶段:DLL 注入与代码执行
OpenSSL 解析到 dynamic_path` 参数后,将恶意 DLL 加载至 lmadmin.exe 进程空间。由于该服务以 NT AUTHORITY\LOCAL SERVICE 身份运行,恶意代码继承其安全上下文,可直接拦截内嵌 HTTP 管理门户的认证凭据。
第四阶段:权限提升至 SYSTEM
在默认配置下,lmadmin.exe 进程拥有 SeImpersonatePrivilege 特权。攻击者可利用 Potato 系列提权工具,通过 RPC、COM 或命名管道等交互场景,将权限从 LOCAL SERVICE 提升至 NT AUTHORITY\SYSTEM,实现对主机的完全控制。
技术细节

受影响组件:lmadmin.exe,一个 32 位守护进程,安装时注册为 Windows 服务 lmadminSchneider,自动启动并以 NT AUTHORITY\LOCAL SERVICE 账户运行。
攻击向量:本地攻击(Local Privilege Escalation),需要先在目标主机上执行任意代码。
硬编码路径特征:
- 路径包含 MS-DOS 8.3 短文件名格式(LMADMI~1.4)
- 施耐德 FLM 默认安装不会创建该目录,为攻击者留下空间
- FlexNet Publisher 加载 DLL 时不进行任何校验
内嵌 Web 门户风险:lmadmin.exe 内置轻量级 HTTP 服务器,提供 Dashboard(无需认证)和 Administration(密码保护)两个区域。由于 Web 门户与 lmadmin.exe 共享同一地址空间,注入的恶意代码可直接窃取管理门户凭据,扩大攻击面。
影响范围
- 受影响产品:施耐德电气浮动许可管理器(Schneider Electric FLM),内部集成 FlexNet Publisher ≤ 11.19.6.0
- 受影响系统:所有部署了 Schneider Electric FLM 的 Windows 工作站和服务器
- 潜在影响:
- 完全控制本地配置文件、敏感系统数据和主机密钥
- 横向移动至工程工作站等工控网络节点
- 中断许可服务器运行,直接影响工程软件和维护操作的可用性
- 攻击复杂度:低。攻击链各环节均为已知技术,组合后构成完整的提权利用链
防护建议
1. 立即升级:将 Schneider Electric FLM 更新至 3.0.0.0 或更高版本。
2. 目录权限加固:使用管理员账户创建 C:\cygwin 目录,并显式拒绝 Authenticated Users 组的写入权限,阻止攻击者沿硬编码路径部署恶意配置文件。
3. 最小化部署:如不使用浮动许可功能,建议完全卸载 Schneider Electric FLM,或避免在非必要工作站上安装。
4. 使用绑定许可:尽可能使用绑定到特定机器的许可方式替代浮动许可。
5. 专用服务器隔离:如必须使用,将 FLM 部署在专用的、严格控制用户访问的服务器上。
6. 持续监控:部署工控安全检测方案,监控 C:\cygwin 目录下的异常文件创建行为以及 lmadmin.exe 进程的 DLL 加载异常。
IOC 速查
| 指标类型 | 值 |
|---|---|
| CVE 编号 | CVE-2024-2658 |
| CWE 类型 | CWE-427(不受控搜索路径元素) |
| 受影响文件 | C:\Program Files (x86)\Schneider Electric\Floating License Manager\FLEXnet Publisher License Server Manager\lmadmin.exe |
| lmadmin.exe MD5 | c3f57667d9e8e1b2375ba09cdf71cac8 |
| lmadmin.exe SHA256 | 9dab845704d1999ec8ed089594cfd2173a08057f1caf9a2346c22c81039dbb7a |
| 恶意配置文件路径 | C:\cygwin\home\nightly\LMADMI~1.4\tier1\lmadmin\contrib\openssl\_RELEA~1\openssl\openssl.cnf |
| 受影响服务 | lmadminSchneider |
| 受影响版本 | FlexNet Publisher ≤ 11.19.6.0 |
| 修复版本 | Schneider Electric FLM ≥ 3.0.0.0 |
*来源:Securelist (Kaspersky),作者:Valery Akulenko*
河南数安科技有限公司是一家专注网络安全和数据安全的高科技企业,河南省保密协会副会长单位,为客户推荐合适的产品、提供优质的服务、传递科学的知识、保护用户数据资产的安全,是我们的使命与追求,公司成立20余年来,为省内数百家企事业单位提供安全保护,保障他们数据和系统的保密性、完整性和可用性。
服务热线:0371-55905120
夜雨聆风