Specjaliści z Kaspersky Lab ICS CERT poinformowali o wykryciu szeregu podatności w oprogramowaniu do zarządzania licencyjnymi kluczami USB HASP (ang. Hardware Against Software Piracy) firmy Gemalto – Gemalto Sentinel LDK.
Klucze używane są do aktywowania (potwierdzenia legalności danej kopii) oprogramowania firm trzecich. W typowym scenariuszu użycia klucza po jego umieszczeniu w porcie USB pobierany jest sterownik: automatycznie lub ręcznie z sieci lub ręcznie z innego nośnika. Sterownik dodaje port 1947 do zapory sieciowej systemu Windows.
Potencjalni napastnicy mogą przez ten port wykorzystać jedną z podatności oprogramowania do licencjonowania:
CVE-2017-11496 – zdalne wykonanie kodu,
CVE-2017-11497 – zdalne wykonanie kodu,
CVE-2017-11498 – atak DoS,
CVE-2017-12818 – atak DoS,
CVE-2017-12819 – przechwytywanie haseł przesyłanych z użyciem protokołu NTLM,
CVE-2017-12820 – atak DoS,
CVE-2017-12821 – zdalne wykonanie kodu,
CVE-2017- 12822 – zdalna manipulacja plików konfiguracyjnych.
Zalecane są następujące kroki zaradcze:
- aktualizacja oprogramowania Sentinel LDK: https://sentinelcustomer.gemalto.com/sentineldownloads/
- blokowanie ruchu z i do portu 1947, przynajmniej na styku sieci wewnętrznej i sieci Internet
Szczegółowe wyniki analizy zostały opisane na stronie: https://ics-cert.kaspersky.com/reports/2018/01/22/a-silver-bullet-for-the-attacker-a-study-into-the-security-of-hardware-license-tokens/
Oprogramowanie firmy Gemalto jest używane między innymi przez firmę Siemens w oprogramowaniu SIMATIC WinCC Add-On. Producent poinformował o identyfikacji trzech podatności: CVE-2017-11496, CVE-2017-11497, CVE-2017-11498 w biuletynie SSA-127490: Vulnerabilities in SIMATIC WinCC Add-Ons (PDF)