Οι ερευνητές του ICS CERT της Kaspersky Lab έχουν εντοπίσει μια ποικιλία σοβαρών ευπαθειών στο σύστημα διαχείρισης αδειών χρήσης «Hardware Κατά της Πειρατείας Λογισμικού» (HASP) που χρησιμοποιείται ευρέως σε εταιρικά και ICS περιβάλλοντα για την ενεργοποίηση αδειοδοτημένων λογισμικών. Περισσότερα από εκατοντάδες χιλιάδες ενδέχεται να είναι τα συστήματα σε ολόκληρο τον κόσμο που επηρεάζονται από την ευάλωτη τεχνολογία.
Τα USB-tokens χρησιμοποιούνται ευρέως σε διάφορους οργανισμούς για εύκολη ενεργοποίηση άδειας χρήσης λογισμικού. Υπό κανονικές συνθήκες, ο διαχειριστής συστήματος μιας εταιρείας θα πρέπει να προσεγγίσει τον υπολογιστή με το λογισμικό που πρέπει να ενεργοποιηθεί και να εισαγάγει το token. Στη συνέχεια, θα επιβεβαιώσει ότι το λογισμικό που ελέγχεται είναι πράγματι νόμιμο (όχι πειρατικό) και θα το ενεργοποιήσει, οπότε ο χρήστης του υπολογιστή ή του server θα είναι στη συνέχεια σε θέση να χρησιμοποιήσει αυτό το λογισμικό.
Από τη στιγμή που το token συνδέεται σε έναν υπολογιστή ή server για πρώτη φορά, το λειτουργικό σύστημα των Windows «κατεβάζει» τον driver του λογισμικού από τους server του προμηθευτή, προκειμένου να λειτουργεί σωστά το token hardware με το hardware του υπολογιστή. Σε άλλες περιπτώσεις, ο driver έρχεται εγκατεστημένος με το λογισμικό το οποίο χρησιμοποιεί το προαναφερθέν σύστημα προστασίας αδειών χρήσης. Οι ειδικοί μας διαπίστωσαν ότι κατά την εγκατάσταση το λογισμικό αυτό προσθέτει τη θύρα 1947 του υπολογιστή στη λίστα εξαιρέσεων του firewall των Windows χωρίς κατάλληλη ειδοποίηση του χρήστη, καθιστώντας τον διαθέσιμο για απομακρυσμένη επίθεση.
Ένας επιτιθέμενος θα χρειαστεί να σαρώσει μόνο το στοχευμένο δίκτυο για να ανοίξει τη θύρα 1947 προκειμένου να εντοπίσει όλους τους απομακρυσμένους υπολογιστές.
Το πιο σημαντικό είναι ότι η θύρα παραμένει ανοιχτή αφού αποσυνδεθεί το token, γι ‘αυτό ακόμα και σε ένα patched και προστατευμένο εταιρικό περιβάλλον ένας εισβολέας θα χρειαστεί να εγκαταστήσει μόνο ένα λογισμικό χρησιμοποιώντας τη λύση HASP ή να επισυνάψει το token σε έναν υπολογιστή μία φορά (ακόμη και σε έναν κλειδωμένο) προκειμένου να είναι διαθέσιμος για απομακρυσμένες επιθέσεις.
Συνολικά, οι ερευνητές έχουν εντοπίσει 14 ευπάθειες σε μια λειτουργία της λύσης λογισμικού, συμπεριλαμβανομένων πολλαπλών DoS ευπαθειών και αρκετών RCEs (εξ αποστάσεως εκτέλεση arbitrary κώδικα) των οποίων, για παράδειγμα, η εκμετάλλευση γίνεται αυτόματα όχι απλά με δικαιώματα χρήστη, αλλά με τα πλέον προνομιακά δικαιώματα χρήσης συστήματος. Αυτό παρέχει στους επιτιθέμενους την ευκαιρία να εκτελέσουν τυχόν arbitrary κώδικες. Όλα τα εντοπισμένα τρωτά σημεία ενδέχεται να είναι πολύ επικίνδυνα και να έχουν ως αποτέλεσμα μεγάλες απώλειες για τις επιχειρήσεις.
Όλες οι πληροφορίες έχουν αναφερθεί στον προμηθευτή. Όλες οι ευπάθειες που έχουν ανακαλυφθεί έλαβαν τους ακόλουθους CVE αριθμούς:
- CVE-2017-11496 – Remote Code Execution
- CVE-2017-11497 – Remote Code Execution
- CVE-2017-11498 – Denial of Service
- CVE-2017-12818 – Denial of Service
- CVE-2017-12819 – NTLM hash capturing
- CVE-2017-12820 – Denial of Service
- CVE-2017-12821 – Remote Code Execution
- CVE-2017- 12822 – Remote manipulations with configuration files
«Δεδομένου του βαθμού εξάπλωσης αυτού του συστήματος διαχείρισης αδειών χρήσης, η πιθανή κλίμακα των συνεπειών είναι πολύ μεγάλη, επειδή αυτά τα tokens χρησιμοποιούνται, όχι μόνο σε τακτά εταιρικά περιβάλλοντα, αλλά και σε κρίσιμες εγκαταστάσεις με αυστηρούς κανόνες απομακρυσμένης πρόσβασης. Το τελευταίο θα μπορούσε εύκολα να παραβιαστεί με τη βοήθεια του ζητήματος το οποίο ανακαλύψαμε ότι θέτει σε κίνδυνο τα κρίσιμα δίκτυα», σχολίασε ο Vladimir Dashchenko, Head of vulnerability research group, Kaspersky Lab ICS CERT.
Κατά την ανακάλυψη, η Kaspersky Lab ανέφερε αυτά τα τρωτά σημεία στους πωλητές λογισμικού που επηρεάστηκαν και οι εταιρείες δημοσίευσαν στη συνέχεια τις ενημερώσεις ασφάλειας.
Το Kaspersky Lab ICS CERT συνιστά έντονα στους χρήστες των προϊόντων που επηρεάζονται να προβούν στις παρακάτω ενέργειες:
- Εγκαταστήστε την πιο πρόσφατη (ασφαλή) έκδοση του driver το συντομότερο δυνατόν ή επικοινωνήστε με τον προμηθευτή για οδηγίες σχετικά με την ενημέρωση του driver.
- Κλείστε τη θύρα 1947, τουλάχιστον στο εξωτερικό firewall (στην περίμετρο του δικτύου) – αλλά μόνο εφόσον αυτό δεν παρεμποδίζει τις επιχειρηματικές διαδικασίες.
Μπορείτε να διαβάσετε περισσότερα σχετικά με αυτές τις ευπάθειες στο ειδικό blogpost στην ιστοσελίδα του ICS CERT της Kaspersky Lab.