24. januar 2018 - Raziskovalci Odzivnega centra za obravnavo incidentov s področja industrijskih nadzornih sistemov v družbi Kaspersky Lab so odkrili številne resne ranljivosti v sistemu za upravljanje z licencami HASP (angl. Hardware Against Software Piracy license management system), ki se pogosto uporablja za aktiviranje licenčne programske opreme v poslovnem svetu in v okolju industrijskih nadzornih sistemov. Po svetu je zaradi ranljivosti tehnologije tako skupno prizadetih na sto tisoče ali celo več sistemov.

Pametni ključi USB (angl. USB token) so za namene lažje aktivacije licenčne programske opreme široko uporabljeni v različnih organizacijah. Običajno sistemski administrator podjetja za aktivacijo določene programske opreme v računalnik vstaviti pametni ključ. Ko je potrjeno, da je želena programska oprema zakonita in ne piratska, sledi aktivacija. Šele takrat lahko uporabnik računalnika ali strežnika začne programsko opremo uporabljati.

Ko je pametni ključ prvič priključen na osebni računalnik ali strežnik, operacijski sistem Windows s ponudnikovega strešnika prenese gonilnik. S tem zagotovi, da strojna oprema pametnega ključa deluje v skladu s strojno opremo računalnika. V drugih primerih je gonilnik že naložen na programski opremi, ki za zaščito licence uporablja uvodoma omenjeni sistem za upravljanje z licencami HASP. Strokovnjaki so odkrili, da ta programska oprema po namestitvi vrata 1947 določi kot izjemo, da obidejo omejitve požarnega zidu Windows. O tem uporabnik ni ustrezno obveščen, omogočen pa je tudi napad na sistem. Napadalec bi namreč moral le pregledati ciljno omrežje in najti odprta vrata 1947 ter nato identificirati, kateri računalniki so dostopni preko oddaljenega dostopa.

Pomemben podatek pri tem je, da vrata ostanejo odprta tudi po tem, ko je bil pametni ključ že odstranjen. Tudi v zaščitenem poslovnem okolju, kjer so zakrpane ranljivosti, bi za oddaljen napad napadalec moral le namestiti programsko opremo z uporabo rešitve HASP ali pa enkrat priključiti pametni ključ na računalnik, tudi če je ta zaklenjen.

Raziskovalci so identificirali 14 ranljivosti v komponentah programske opreme, preko katerih lahko napadalci ohromijo storitve in prek oddaljenega dostopa izvršijo kode (angl. remote execution of arbitrary code). Napadalci ne pridobijo le običajnih uporabniških pravic, temveč privilegirane sistemske pravice. Vse identificirane ranljivosti so potencialno zelo nevarne in se lahko odrazijo v velikih izgubah za podjetje.

Vse te informacije so bile posredovane ponudniku omenjenega sistema. Odkrite ranljivosti pa so prejele naslednje CVE-oznake:

CVE-2017-11496 – Remote Code Execution
CVE-2017-11497 – Remote Code Execution
CVE-2017-11498 – Denial of Service
CVE-2017-12818 – Denial of Service
CVE-2017-12819 – NTLM hash capturing
CVE-2017-12820 – Denial of Service
CVE-2017-12821 – Remote Code Execution
CVE-2017- 12822 – Remote manipulations with configuration files

»Glede na široko razširjenost tega sistema za upravljanje z licencami, je možnih veliko različnih posledic. Pametni ključi se namreč ne uporabljalo le v običajnih poslovnih okoljih ampak tudi v kritični infrastrukturi, kjer veljajo stroga pravila za oddaljen dostop. Ta pravila lahko napadalci zlahka zaobidejo preko ranljivosti, ki smo jih odkrili,« pravi Vladimir Dashchenko, vodja raziskovalne skupine za odkrivanje ranljivosti pri Odzivnem centru za obravnavo incidentov s področja industrijskih nadzornih sistemov v družbi Kaspersky Lab.

Družba Kaspersky Lab je o odkritih ranljivostih obvestila prizadete ponudnike programske opreme. Podjetja so posledično izdala varnostne popravke. Odzivni center za obravnavo incidentov s področja industrijskih nadzornih sistemov v družbi Kaspersky Lab uporabnikom priporoča:
- Čim hitreje naložite zadnjo (varno) različico gonilnika ali stopite v stik s prodajalcem, ki vam bo dal navodila za nadgradnjo gonilnika.
- Zaprite vrata 1947 vsaj na zunanjem požarnem zidu (na ravni omrežja), ampak samo dokler to ne vpliva na poslovne procese.

Več o omenjenih ranljivostih si lahko preberete na spletni strani Kasperksy Lab ICS CERT.

V priponki pa najdete tudi infografiko.