Kaspersky Lab wykrył liczne luki w szeroko rozpowszechnionym oprogramowaniu do zarządzania licencjami korporacyjnymi
Badacze z zespołu Kaspersky Lab ICS CERT zidentyfikowali szereg poważnych luk w zabezpieczeniach systemu zarządzania licencjami Hardware Against Software Piracy (HASP), powszechnie stosowanym w przemysłowych systemach sterowania (ICS) w celu aktywowania oprogramowania. Na całym świecie funkcjonują setki tysięcy systemów zawierających podatną na zagrożenia technologię.
Licencyjne klucze USB, o których mowa, są powszechnie wykorzystywane w różnych organizacjach, umożliwiając wygodną aktywację licencji oprogramowania. W typowych scenariuszach administrator systemu w firmie musi podejść do komputera z wymagającym aktywacji oprogramowaniem i umieścić w nim klucz USB, który potwierdzi, że dane oprogramowanie jest rzeczywiście legalne (nie jest to wersja piracka), i aktywuje je, tak aby mogło być wykorzystywane przez użytkownika komputera lub serwera.
Gdy klucz jest podłączany do komputera lub serwera po raz pierwszy, system Windows pobiera sterownik oprogramowania z serwerów producenta w celu zapewnienia poprawnego współdziałania sprzętu ze systemem operacyjnym. W innych przypadkach sterownik zostaje zainstalowany wraz z oprogramowaniem dostawcy, które wykorzystuje wspomniany wcześniej system do ochrony licencji. Eksperci z Kaspersky Lab ustalili, że po instalacji oprogramowanie to dodaje sieciowy port 1947 komputera do listy wyjątków zapory sieciowej systemu Windows bez stosownego powiadomienia użytkownika, umożliwiając potencjalny atak zdalny. Cyberprzestępca musiałaby jedynie przeskanować atakowaną sieć pod kątem otwartego portu 1947 w celu zidentyfikowania zdalnie dostępnych komputerów. Co ważniejsze, port ten pozostaje otwarty nawet po odłączeniu klucza USB.
Łącznie badacze zidentyfikowali 14 luk w zabezpieczeniach w jednym komponencie oprogramowania, w tym błędy umożliwiające przeprowadzenie ataku DoS (mającego na celu zatrzymanie funkcjonowania infrastruktury IT) oraz zdalne wykonanie dowolnego kodu. Wszystkie zidentyfikowane luki mogą być potencjalnie bardzo niebezpieczne i spowodować duże straty dla korporacji oraz organizacji przemysłowych.
Wszystkie poczynione odkrycia zostały zgłoszone producentowi. Wykrytym lukom przydzielono następujące numery CVE:
- CVE-2017-11496 – zdalne wykonanie kodu,
- CVE-2017-11497 – zdalne wykonanie kodu,
- CVE-2017-11498 – atak DoS,
- CVE-2017-12818 – atak DoS,
- CVE-2017-12819 – przechwytywanie haseł przesyłanych z użyciem protokołou NTLM,
- CVE-2017-12820 – atak DoS,
- CVE-2017-12821 – zdalne wykonanie kodu,
- CVE-2017-12822 – zdalna manipulacja plików konfiguracyjnych.
Ze względu na duże rozpowszechnienie omawianego systemu zarządzania licencjami możliwa skala konsekwencji jest ogromna, ponieważ klucze USB są wykorzystywane nie tylko w zwykłych środowiskach korporacyjnych, ale również w obiektach krytycznych z rygorystycznymi zasadami zdalnego dostępu. Zasady te można łatwo obejść z pomocą wykrytych przez nas luk, co stanowi zagrożenie dla infrastruktury krytycznej – powiedział Władimir Daszczenko, szef grupy ds. badań luk w zabezpieczeniach, Kaspersky Lab ICS CERT.
Po wykryciu luk Kaspersky Lab zgłosił je producentom odpowiedniego oprogramowania, którzy opublikowali łaty bezpieczeństwa. Kaspersky Lab ICS CERT zdecydowanie zaleca użytkownikom produktów zawierających opisane luki, aby podjęli następujące działania:
- zainstalowali najnowszą (bezpieczną) wersję sterownika najszybciej, jak to możliwe, lub skontaktowali się z producentem w celu uzyskania instrukcji dotyczących aktualizacji sterownika,
- zamknęli port 1947 przynajmniej na zewnętrznej zaporze sieciowej (na obwodzie sieci) – pod warunkiem jednak, że nie zakłóci to procesów biznesowych.
Więcej informacji na temat wykrytych luk znajduje się na stronie https://r.kaspersky.pl/aYCyL.
Informacje o Kaspersky Lab ICS CERT
Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny project uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynowania działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych oraz badaczy w zakresie bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje swoje wysiłki głównie na identyfikowaniu potencjalnych i aktualnych zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. Podczas pierwszego roku działania zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów liczących się na świecie producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują zalecenia dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami.