卡巴斯基实验室的工业控制系统网络应急响应小组(ICS CERT)的研究人员在硬件反盗版(HASP)许可证管理系统中发现多个严重漏洞,而这种管理系统被广泛应用于企业和工业控制系统环境中来激活许可软件。受这一漏洞技术影响的系统数量可能高达数十万,甚至全球都受到影响。
卡巴斯基实验室的工业控制系统网络应急响应小组(ICS CERT)的研究人员在硬件反盗版(HASP)许可证管理系统中发现多个严重漏洞,而这种管理系统被广泛应用于企业和工业控制系统环境中来激活许可软件。受这一漏洞技术影响的系统数量可能高达数十万,甚至全球都受到影响。
这种存在问题的USB令牌被广泛应用于不同的组织中,用来方便地进行软件许可激活。正常的使用情景下,公司的系统管理员需要来到要激活软件的计算机旁,插入令牌。这会确认要激活的软件是合法的(不是盗版的),并将软件激活,这样计算机或服务器用户就可以正常使用这款软件。
当令牌首次连接到计算机或服务器上时,Windows操作系统会从软件供应商的服务器下载软件驱动,确保令牌硬件能够与计算机硬件正常工作。其他情况下,驱动程序会安装第三方软件,使用上述系统进行许可证保护。我们的专家发现,这个软件在安装后会将计算机的1947端口添加到Windows防火墙的排除列表中,并且不会通知用户,使得其可用于远程攻击。
攻击者只需扫描目标网络上开放的1947端口,以识别任何远程可用的计算机。
重要的是,在令牌被取下之后,端口仍然是开放的,这就是为什么即使在已修补漏洞和得到保护的公司环境中,攻击者也只需要使用HASP解决方案安装软件,或者将令牌连接到计算机一次(即使是锁定的计算机),就可以对其进行远程攻击。
整体来看,研究人员在这种软件解决方案的一个组件中发现了14个漏洞,包括多个DoS漏洞和多个RCE(远程执行任意代码)漏洞,例如,它们不会自动利用用户权限执行,而是利用拥有最高权限的系统权限。这为攻击者提供了执行任意代码的机会。所有发现的漏洞都是潜在的非常危险的,能够为企业造成巨大的损失。
所有相关信息均已提交给软件供应商。所有发现的漏洞被赋予一下CVE序号:
· CVE-2017-11496 – Remote Code Execution 远程代码执行
· CVE-2017-11497 – Remote Code Execution 远程代码执行
· CVE-2017-11498 – Denial of Service 拒绝服务
· CVE-2017-12818 – Denial of Service 拒绝服务
· CVE-2017-12819 – NTLM hash capturing NTLM哈希捕获
· CVE-2017-12820 – Denial of Service 拒绝服务
· CVE-2017-12821 – Remote Code Execution 远程代码执行
· CVE-2017- 12822 – Remote manipulations with configuration files 远程操控配置文件
卡巴斯基实验室工业控制系统网络应急响应小组漏洞研究小组负责人Vladimir Dashchenko说:“考虑到这种许可证管理系统的使用很广泛,其可能造成的后果将非常大,因为这些令牌不仅用于普通的企业环境,还应用在具有严格远程访问规则的关键基础设施上。而利用我们发现的漏洞,很容易就入侵后一种系统,就让关键网络面临危险。”
发现这些漏洞后,卡巴斯基实验室将其上报给受影响软件的开发商,这些公司随后发布了安全补丁。
卡巴斯基实验室工业控制系统网络应急响应小组强烈建议使用受影响产品的用户采取以下措施:
· 尽快安装最新版(安全的)驱动程序,或者联系供应商获取有关更新驱动程序的说明
· 关闭1947端口,至少在外部防火墙上(网络边界)——只要不影响企业的业务流程。
更多有关这些漏洞的详情,请访问卡巴斯基实验室工业控制系统计算应急响应小组的网站。
关于卡巴斯基实验室工业控制系统网络应急响应小组(ICS CERT)
卡巴斯基实验室工业控制系统网络应急响应小组(卡巴斯基实验室ICS CERT)是卡巴斯基实验室于2016年发起的一个全球性项目,旨在协调自动化系统供应商、工业设施所有者和运营商以及IT安全研究人员的努力,以保护工业企业免受网络攻击。卡巴斯基实验室ICS CERT致力于识别针对工业自动化系统和工业物联网的潜在和现有的威胁。在运营的第一年,该团队确定了全球主要ICS供应商产品中的110多个关键漏洞。卡巴斯基实验室ICS CERT是提供保护工业企业免受网络威胁的建议的国际组织中的积极成员和合作伙伴。
网友评论