Cercetătorii Kaspersky Lab ICS CERT au descoperit mai multe vulnerabilități importante în sistemul de management al licențelor Hardware Against Software Piracy (HASP), folosit pe scară largă în medii corporate și ICS, pentru activarea software-ului licențiat. Este posibil ca numărul de sisteme afectate de această tehnologie vulnerabilă să depășească ordinul sutelor de mii, la nivel mondial.
Token-urile USB în cauză sunt folosite la scară largă în diferite organizații cu scopul activării cu ușurință a licenței de software. În mod normal, administratorul de sistem al companiei ar trebui să vină la computer cu programul care necesită activarea și să insereze token-ul. Ulterior, acesta va confirma că programul în cauză este într-adevăr legitim (nu piratat) și îl va activa, astfel ca utilizatorul PC-ului sau al server-ului să poată să îl folosească.
Tot ce trebuie să facă un infractor cibernetic este să scaneze rețeaua vizată, căutând portul 1947 deschis, pentru a identifica orice computer care poate fi accesat de la distanță.
Foarte important, portul rămâne deschis după ce token-ul a fost deconectat de la computer, de aceea chiar și într-un mediu corporate protejat și unde s-au aplicat patch-uri de securitate, un infractor nu trebuie decât să instaleze un program folosind soluția HASP sau să conecteze o singură dată token-ul la un PC (chiar și la unul închis), pentru a-l putea ataca de la distanță.
În total, cercetătorii au identificat 14 vulnerabilități într-o componentă a soluției, printre care numeroase vulnerabilități DoS și câteva de tip RCE (executarea de la distanță a unui cod arbitrar) de care atacatorii profită, de exemplu, reușind să aibă acces la drepturi de utilizator privilegiat, nu obișnuit. Astfel, atacatorii au ocazia să pună în executare coduri arbitrare. Vulnerabilitățile descoperite pot să fie periculoase și să cauzeze pierderi mari companiilor.
Toate informațiile au fost comunicate furnizorului. Vulnerabilitățile descoperite au primit următoarele denumiri CVE (Common Vulnerabilities and Exposures):
• CVE-2017-11496 – Remote Code Execution
• CVE-2017-11497 – Remote Code Execution
• CVE-2017-11498 – Denial of Service
• CVE-2017-12818 – Denial of Service
• CVE-2017-12819 – NTLM hash capturing
• CVE-2017-12820 – Denial of Service
• CVE-2017-12821 – Remote Code Execution
• CVE-2017- 12822 – Remote manipulations with configuration files
„Având în vedere cât de răspândit este acest sistem de management al licențelor, consecințele ar putea să fie de amploare, pentru că token-urile respective sunt folosite nu doar în medii de business obișnuite, ci și în zone de importanță critică, unde există reguli stricte privind accesul de la distanță”, spune Vladimir Dashchenko, Head of vulnerability research group, Kaspersky Lab ICS CERT. „Acestea din urmă pot fi sparte cu ușurință cu ajutorul vulnerabilităților descoperite de noi, care pun rețelele de importanță critică în pericol.”
După descoperire, Kaspersky Lab a informat furnizorii de software afectați, iar companiile au publicat patch-uri de securitate.
Kaspersky Lab ICS CERT le recomandă utilizatorilor produselor afectate să ia următoarele măsuri:
• Să instaleze cea mai recentă versiune sigură a driver-ului cât mai repede posibil sau să contacteze furnizorul pentru instrucțiuni despre cum să își actualizeze driver-ul.
• Să închidă portul cu numărul 1947, cel puțin pe firewall-ul extern (în perimetrul rețelei) – atâta vreme cât acest lucru nu interferează cu procesele de business.
Puteți citi mai multe despre aceste vulnerabilități în articolul de pe site-ul Kaspersky Lab ICS CERT.
528