Global Preloader
Vulnerabilidad
(23/Jan/2018) Sistemas industriales y corporativos expuestos a ataques remotos debido a vulnerabilidades en un producto de protección

Sistemas industriales y corporativos expuestos a ataques remotos debido a vulnerabilidades en un producto de protección

Un número significativo de sistemas industriales y corporativos pueden estar expuestos a ataques remotos debido a la existencia de más de una docena de vulnerabilidades en un producto de protección y licenciamiento de Gemalto.

Gemalto Sentinel LDK es una solución de licencia de software utilizada por muchas organizaciones en todo el mundo en sus redes de sistemas de control industrial e industrial (ICS). Además de los componentes de software, la solución proporciona protección basada en hardware, específicamente un dongle USB SafeNet Sentinel que los usuarios conectan a una PC o servidor cuando desean activar un producto.

Los investigadores de Kaspersky Lab descubrieron que cuando el token está conectado a un dispositivo, se instalan los controladores necesarios, ya sea que los descargue Windows o los proporcione un software de terceros, y el puerto 1947 se agrega a la lista de excepciones en el Firewall de Windows. El puerto permanece abierto incluso después de que se haya eliminado el dongle USB, lo que permite el acceso remoto a un sistema.

Los expertos descubrieron un total de 14 vulnerabilidades en los componentes de Sentinel, incluidas las que permiten ataques de denegación de servicio (DoS), la ejecución de código arbitrario con privilegios del sistema y la captura de hash NTLM. Dado que el puerto 1947 permite el acceso al sistema, estos defectos pueden ser explotados por un atacante remoto.

Kaspersky decidió analizar el producto después de que el equipo ICS CERT de la compañía lo encontró repetidamente durante las asignaciones de pruebas de penetración.

Los actores malintencionados pueden escanear la red para el puerto 1947 para identificar dispositivos accesibles remotamente o, si tienen acceso físico a la máquina objetivo, pueden conectar la llave USB, incluso si la computadora está bloqueada, para poder acceder de forma remota.

El producto Gemalto también incluye una API que se puede usar para habilitar y deshabilitar remotamente la interfaz del administrador y cambiar la configuración, incluida la configuración de proxy para obtener paquetes de idiomas. Cambiar el proxy permite a un atacante obtener el hash NTLM para la cuenta de usuario que ejecuta el proceso del software de licenciamiento.

Kaspersky descubrió once vulnerabilidades a finales de 2016 y principios de 2017, y se encontraron otras tres en junio de 2017. Se notificó a Gemalto y la compañía implementó las correcciones con el lanzamiento de la versión 7.6 , pero Kaspersky no está completamente satisfecho con la forma en que manejó la situación. La primera ronda de fallas solo se resolvió a fines de junio de 2017 y Gemalto no comunicó adecuadamente a los clientes los riesgos que plantean estas vulnerabilidades. Varios desarrolladores de software que utilizaron la solución de administración de licencias le dijeron a Kaspersky que no estaban al tanto de los problemas versiones.

Además de instalar la última versión del controlador Sentinel, Kaspersky ha aconsejado a los usuarios cerrar el puerto 1947 si no es necesario para las actividades regulares.

Si bien se desconoce el número exacto de dispositivos que usan este producto Gemalto, Kaspersky cree que podrían ser millones. Un estudio de 2011 de Frost y Sullivan mostró que SafeNet Sentinel tenía una participación del 40 por ciento en el mercado de soluciones de control de licencias en América del Norte y el 60 por ciento en Europa.

El software vulnerable de Gemalto se encuentra en los productos de varias compañías importantes, incluidas ABB, General Electric, HP, Cadac Group, Siemens y Zemax.

La semana pasada, ICS-CERT y Siemens advirtieron que más de una docena de versiones del SIMATIC WinCC Add-On se vieron afectadas por tres vulnerabilidades críticas y de alta gravedad introducidas por el uso del software Gemalto. Siemens dijo que los fallos, dos de los cuales están relacionados con la forma en que se procesan los paquetes de idiomas, permiten ataques DoS y la ejecución de código arbitrario.

Siemens dijo a los clientes que el software vulnerable Gemalto se utiliza en los complementos SIMATIC WinCC lanzados en 2015 y anteriores.

"Teniendo en cuenta la amplitud de este sistema de gestión de licencias, la posible escala de consecuencias es muy grande, ya que estos tokens se utilizan no solo en entornos corporativos regulares, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Esto último podría romperse fácilmente con la ayuda del problema que descubrimos que está poniendo en peligro las redes críticas ", advirtió Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades de Kaspersky ICS CERT.