Istraživači kompanije Kaspersky Lab u timu za rešavanja incidenata u industrijskim sistemima (ICS CERT tim) pronašli su, prilikom aktivacije licenciranih softvera, više ozbiljnih ranjivosti u sistemu za licencirano upravljanje Hardvera protiv piratizovanog softvera (HASP) koji je korišćen u korporativnim i drugim industrijskim sistemima (ICS). Može se reći da se broj sistema kod kojih je uočena ranjivost meri u stotinama hiljada, i čak i više, širom svetra.
Ovi USB tokeni su korišćeni u različitim organizacijama u svrhu zgodnije aktivacije licenciranih softvera. U normalnim sitacijama, sistem administrator kompanije trebalo bi da pristupi kompjuteru pomoću aktiviranog softvera i da ubaci token. Zatim bi dobio potvrdu da je dotični softver zaista legitiman (a ne piratizovan) da bi ga potom aktivirao kako bi korisnik desktop računara ili servera mogao da ga koristi.
Kada se jednom ili po prvi put token ubaci u desktop računar ili server, operativni sistem Windows skida drajver za softver sa servera prodavca kako bi omogućio normalan režim rada hardvera tokena sa hardverom kompjutera.U drugim slučajevima, drajver stiže s već instaliranim, nekim drugim, softveromom koji koristi pomenuti sistem za zaštitu licence. Naši stručnjaci su otkrili da ovaj softver prilikom instalacije dodaje port 1947 kompjutera na listu izuzetaka od Windows zaštitnog zida bez adekvatnog obaveštavanja korisnika, čime je omogućen daljinski napad.
Napadaču je potrebno samo da skenira ciljanu mrežu sa otvorenim portom 1947 kako bi identifikovao neke od kompjtera kod kojih je moguć daljinski napad.
Još važnije jeste da port ostaje otvoren i nakon „vađenja“ tokena, što znači da čak i u „zakrpljenom“ ili zaštićenom korporativnom okruženju, napadač treba samo da instalira softver koristeći HASP rešenje ili da ubaci token samo jednom u desktop računar (čak i ako je zaključan) kako bi omogućio daljinske napade.
Sve u svemu, istraživači su otkrili 14 ranjivosti u jednoj od komponenti softverskog rešenja, uključujući višestruke DoS (Denial-of-Service) ranjivosti i nekoliko daljinskih upravljanja kodovima koji mogu biti, na primer, automatski ekploatisani i to ne preko korisničkih prava, već preko najprivilegovanijih sistemskih prava. Ovo napadačima otvara mogućnost da aktiviraju bilo koje arbitrarne kodove. Sve identifikovane ranjivosti mogu biti potencijalno veoma opasne i da rezultuju velikim gubicima po kompanije.
Sve informacije su prijavljene prodavcu. Svim otkrivenim ranjivostima su dodeljeni sledeći brojevi u Indeksu uobičajenih ranjivosti i izloženosti (CVE):
- CVE-2017-11496 – Remote Code Execution
- CVE-2017-11497 – Remote Code Execution
- CVE-2017-11498 – Denial of Service
- CVE-2017-12818 – Denial of Service
- CVE-2017-12819 – NTLM hash capturing
- CVE-2017-12820 – Denial of Service
- CVE-2017-12821 – Remote Code Execution
- CVE-2017- 12822 – Remote manipulations with configuration files
„Iimajući u vidu koliko je ovaj sistem za upravljanje licencama raširen, i mogući broj posledica je veoma veliki jer se ovi tokeni ne koriste samo u uobičajenim korporativnim sredinama već i u kritičnim objektima sa strogim pravilima daljinskog pristupa. Ovi drugi bi lako mogli biti ugroženi zbog problema za koji smo otkrili da smešta kritične mreže u opasnost,” rekao je Vladimir Daščenko (Vladimir Dashchenko), vođa tima za istraživanje ranjivosti u kompaniji Kaspersky Lab (Kaspersky Lab ICS CERT).
Tim kompanije Kaspersky Labza rešavanje incidenata u industrijskim sistemima (Kaspersky Lab ICS CERT tim) snažno preporučuje korisnicima koji su pogođeni ovim napadima da urade sledeće:
- Instalirajte poslednju (sigurnosnu) verziju drajvera što je moguće pre ili kontaktirajte prodavca za dobijanje instrukcija za ažuriranje drajvera.
- Zatvorite port 1947 barem u spoljnom zaštitnom zidu (na mreži) – ali samo ukoliko vam ovo ne pravi probleme u uobičajenom vođenju poslova.