金雅拓软件授权解决方案存漏洞,威胁工控系统安全
发布日期:2018-01-29卡巴斯基实验室的研究人员发现,荷兰SIM卡制造商金雅拓(Gemalto) 的软件授权解决方案Sentinel LDK中存在14个漏洞,从而使得大量工业系统和企业系统易遭遇远程攻击。
金雅拓Sentinel LDK
Sentinel LDK 是金雅拓公司推出的软件授权解决方案,可全方位解决软件许可生命周期中的各种问题,包括软件知识产权保护问题、防止非授权使用、产品功能组合打包、许可升级更新管理等,可切实提高软件安全性、许可管理透明度等诸多困扰软件开发商的难题。全球许多企业在企业和ICS网络中使用该解决方案。除了软件组件,Sentinel LDK 还提供基于软件的保护,尤其是 SafeNet Sentinel USB令牌(例如USB电子狗),可供用户连接到 PC 或服务器激活某款产品。
关于Sentinel 组件中的漏洞分析
研究人员发现,当 SafeNet Sentinel USB令牌连接到设备时,会安装必要的驱动(由Windows下载或由第三方软件提供),端口1947会被添加到 Windows 防火墙的例外列表中。当拔出 USB令牌后,这个端口仍处于开放状态,从而允许对系统进行远程访问。
专家共在 Sentinel 组件中发现14个漏洞,其中一些允许执行 DoS 攻击,任意代码执行以及捕获 NTLM 哈希等。由于端口1947 允许访问系统,导致远程攻击者可利用这些漏洞。部分漏洞列举:
CVE-2017-11496 - 远程执行代码
CVE-2017-11497 - 远程执行代码
CVE-2017-11498 - 拒绝服务
CVE-2017-12818 - 拒绝服务
CVE-2017-12819 - NTLM哈希捕获
CVE-2017-12820 - 拒绝服务
CVE-2017-12821 - 远程代码执行
CVE-2017-12822 - 使用配置文件进行远程操作
卡巴斯基公司的 ICS CERT 团队在执行渗透测试任务期间遇到该问题,于是决定对产品进行分析。恶意人员能够扫描端口1947 找到远程可访问的设备,或者对目标设备进行物理访问,从而连接 USB令牌(即使计算机被锁定),以此进行远程访问。
金雅拓这款产品还包含可供远程启用和禁用管理员接口和更改设置(包括获取语言包的代理设置)的 API。 更改代理就能允许攻击者获取用来运行许可软件进程的账户 NTLM 哈希。
除安装最新版本的 Sentinel 驱动外,若非常规操作必要,卡巴斯基建议用户关闭端口1947。
漏洞已修复,但未充分告知消费者
卡巴斯基实验室于2016年底和2017年初共发现了11个漏洞,其它3个漏洞于2017年6月被发现。金雅拓收到通知后已在版本 7.6 中修复了漏洞,但卡巴斯基对其处理方式表示并不满意。金雅拓2017年6月才解决第一批漏洞,并且金雅拓未充分告知消费者关于漏洞的风险。多名使用该解决方案的软件开发人员向卡巴斯基表示,他们并未意识到安全漏洞的存在,仍在使用易遭受攻击的版本。
主要影响北美及欧洲地区
卡巴斯基预测这款产品可能有数百万台,但目前尚不清楚确切的设备数量,根据 Forst & Sullivan 公司2011年发布的研究报告显示,SafeNet Sentinel 在北美许可控制解决方案市场的占比高达40%,欧洲市场占比为60%。
知名大型企业受影响
多家大型企业也使用这款软件,包括ABB、通用电气、惠普、西门子、Cadac Group 以及 Zemax。
不久前,美国ICS-CERT 和西门子警告称,因使用金雅拓软件,十几个SIMATIC WinCC 扩展版本受到三个高危漏洞影响。西门子表示,其中两个漏洞和语言包的处理方式有关,攻击者能够发起 DoS 和任意代码执行攻击。 西门子2015年及更早之前发布的 SIMATIC WinCC 扩展受漏洞影响。
卡巴斯基 ICS-CERT 漏洞研究组负责人弗拉基米尔·丹什琴克表示,Sentinel LDK 应用广泛,其漏洞可能引发非常严重的后果,因为这些令牌不仅用于常规的企业环境中,还用于具有严格远程访问规则的关键设施中。后者可能会因此而轻易崩溃,将关键网络置于风险之中。