Менеджер лицензий Gemalto ставит под угрозу АСУ ТП и корпоративные сети

image

Теги: Лаборатория Касперского, уязвимость, Gemalto, порт

В общей сложности в компонентах SafeNet Sentinel было обнаружено 14 уязвимостей, которые могут быть проэксплуатированы удаленно.

Значительное число промышленных и корпоративных систем может подвергнуться удаленным кибератакам из-за существования более десятка уязвимостей в программно-аппаратном комплексе для защиты и лицензирования SafeNet Sentinel от компании Gemalto. Об этом сообщили исследователи безопасности из «Лаборатории Касперского».

Gemalto SafeNet Sentinel представляет собой решение для лицензирования программного обеспечения, используемое многими организациями по всему миру как в корпоративных сетях, так и в автоматизированных системах управления технологическими процессами (АСУ ТП). В дополнение к программным компонентам решение также обеспечивает аппаратную защиту, в частности, USB-токен SafeNet Sentinel USB, который пользователи могут подключить к ПК или серверу для активации какого-либо ПО.

Как выяснили исследователи, когда USB-токен подключается к устройству, на него устанавливаются необходимые драйверы. Драйверы могут быть загружены автоматически операционной системой Windows, либо предоставлены сторонним ПО. После установки драйверов порт 1947 добавляется в список исключений в межсетевой экран Windows Firewall. Порт остается открытым даже после удаления USB-токена, позволяя злоумышленнику получить удаленный доступ к системе.

В общей сложности эксперты обнаружили 14 уязвимостей в компонентах Sentinel, в том числе позволяющие осуществить атаки типа «отказ в обслуживании» (DoS), произвольное выполнение кода с привилегиями системы и захват NTLM-хэшей. Поскольку порт 1947 разрешает доступ к системе, данные уязвимости могут быть проэксплуатированы удаленно.

Злоумышленники могут просканировать сеть на предмет открытого порта 1947, после чего идентифицировать уязвимые устройства или при наличии физического доступа к целевому устройству подключить USB-токен, сделав компьютер доступным удаленно, даже если он заблокирован.

Продукт Gemalto также включает API, который можно использовать для удаленного включения и отключения интерфейса администратора и изменения настроек, включая настройки прокси для получения языковых пакетов. Изменение прокси позволяет злоумышленнику получить NTLM-хэши для учетной записи пользователя, выполняющей процесс лицензирования программного обеспечения.

11 уязвимостей были обнаружены экспертами ЛК в конце 2016 года и в начале 2017 года. Еще 3 проблемы были выявлены в июне 2017 года. Исследователи уведомили Gemalto об уязвимостях, после чего компания исправила их с выпуском версии 7.6, однако эксперты ЛК остались недовольны предпринятыми поставщиком мерами. Часть проблем была исправлена только в конце июня 2017 года. Gemalto также некорректно информировала клиентов о рисках, связанных с данными уязвимостями. По словам нескольких разработчиков программного обеспечения, использующих решение для лицензирования, они не были предупреждены о проблемах и продолжали использовать уязвимые версии.

Помимо установки последней версии драйвера Sentinel, эксперты порекомендовали пользователям закрыть порт 1947, если он не используется на регулярной основе.

Точное количество устройств, использующих данный продукт Gemalto, неизвестно, однако исследователи полагают, что речь может идти о нескольких миллионах. По данным исследования, проведенного аналитиками компании Frost and Sullivan в 2011 году, доля SafeNet Sentinel на североамериканском рынке решений по контролю лицензий составляет 40%, на европейском - более 60%.

Уязвимое программное обеспечение Gemalto содержится в продуктах нескольких крупных компаний, в том числе ABB, General Electric, HP, Cadac Group, Siemens и Zemax.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus