Badacze z zespołu Kaspersky Lab ICS CERT zidentyfikowali szereg poważnych luk w zabezpieczeniach systemu zarządzania licencjami Hardware Against Software Piracy (HASP), powszechnie stosowanym w przemysłowych systemach sterowania (ICS) w celu aktywowania oprogramowania. Na całym świecie funkcjonują setki tysięcy systemów zawierających podatną na zagrożenia technologię.
Licencyjne klucze USB, o których mowa, są powszechnie wykorzystywane w różnych organizacjach, umożliwiając wygodną aktywację licencji oprogramowania. W typowych scenariuszach administrator systemu w firmie musi podejść do komputera z wymagającym aktywacji oprogramowaniem i umieścić w nim klucz USB, który potwierdzi, że dane oprogramowanie jest rzeczywiście legalne (nie jest to wersja piracka), i aktywuje je, tak aby mogło być wykorzystywane przez użytkownika komputera lub serwera.
Gdy klucz jest podłączany do komputera lub serwera po raz pierwszy, system Windows pobiera sterownik oprogramowania z serwerów producenta w celu zapewnienia poprawnego współdziałania sprzętu ze systemem operacyjnym. W innych przypadkach sterownik zostaje zainstalowany wraz z oprogramowaniem dostawcy, które wykorzystuje wspomniany wcześniej system do ochrony licencji. Eksperci z Kaspersky Lab ustalili, że po instalacji oprogramowanie to dodaje sieciowy port 1947 komputera do listy wyjątków zapory sieciowej systemu Windows bez stosownego powiadomienia użytkownika, umożliwiając potencjalny atak zdalny. Cyberprzestępca musiałaby jedynie przeskanować atakowaną sieć pod kątem otwartego portu 1947 w celu zidentyfikowania zdalnie dostępnych komputerów. Co ważniejsze, port ten pozostaje otwarty nawet po odłączeniu klucza USB.
Łącznie badacze zidentyfikowali 14 luk w zabezpieczeniach w jednym komponencie oprogramowania, w tym błędy umożliwiające przeprowadzenie ataku DoS (mającego na celu zatrzymanie funkcjonowania infrastruktury IT) oraz zdalne wykonanie dowolnego kodu. Wszystkie zidentyfikowane luki mogą być potencjalnie bardzo niebezpieczne i spowodować duże straty dla korporacji oraz organizacji przemysłowych.
Wszystkie poczynione odkrycia zostały zgłoszone producentowi. Wykrytym lukom przydzielono następujące numery CVE:
- · CVE-2017-11496 – zdalne wykonanie kodu,
- · CVE-2017-11497 – zdalne wykonanie kodu,
- · CVE-2017-11498 – atak DoS,
- · CVE-2017-12818 – atak DoS,
- · CVE-2017-12819 – przechwytywanie haseł przesyłanych z użyciem protokołu NTLM,
- · CVE-2017-12820 – atak DoS,
- · CVE-2017-12821 – zdalne wykonanie kodu,
- · CVE-2017- 12822 – zdalna manipulacja plików konfiguracyjnych.
Ze względu na duże rozpowszechnienie omawianego systemu zarządzania licencjami możliwa skala konsekwencji jest ogromna, ponieważ klucze USB są wykorzystywane nie tylko w zwykłych środowiskach korporacyjnych, ale również w obiektach krytycznych z rygorystycznymi zasadami zdalnego dostępu. Zasady te można łatwo obejść z pomocą wykrytych przez nas luk, co stanowi zagrożenie dla infrastruktury krytycznej – powiedział Władimir Daszczenko, szef grupy ds. badań luk w zabezpieczeniach, Kaspersky Lab ICS CERT.
Po wykryciu luk Kaspersky Lab zgłosił je producentom odpowiedniego oprogramowania, którzy opublikowali łaty bezpieczeństwa.
Kaspersky Lab ICS CERT zdecydowanie zaleca użytkownikom produktów zawierających opisane luki, aby podjęli następujące działania:
- zainstalowali najnowszą (bezpieczną) wersję sterownika najszybciej, jak to możliwe, lub skontaktowali się z producentem w celu uzyskania instrukcji dotyczących aktualizacji sterownika,
- zamknęli port 1947 przynajmniej na zewnętrznej zaporze sieciowej (na obwodzie sieci) – pod warunkiem jednak, że nie zakłóci to procesów biznesowych.