Найти тему
IS-Systems

Исследователи безопасности предупреждают об уязвимостях стека TCP/IP в операционных устройствах.

Исследователи из Forescout раскрыли данные по INFRA:HALT - набору из 14 уязвимостей в стеке TCP/IP и призвали организации срочно применить обновления.

Уязвимости в протоколах связи, используемых промышленными системами управления, могут позволить злоумышленникам нарушить работу сервисов, а также получить доступ к данным в сети.

Набор из 14 уязвимостей, получивший название «INFRA:HALT», был подробно описан исследователями кибербезопасности из Forescout Research Labs и JFrog Security Research, которые предупреждают, что если их не устранить, недостатки могут привести к удаленному выполнению кода, отказу в обслуживании или утечке информации.

Все уязвимости относятся к стеку TCP/IP - используемым в подключенных к сети устройствах коммуникационным протоколам – а конкретно к NicheStack, используемому в операционных технологиях и промышленной инфраструктуре.

Некоторые из недавно обнаруженных уязвимостей имеют более чем 20-летнюю давность, что является распространенной проблемой для операционных технологий, которые все еще часто работают на разработанных и произведенных много лет назад протоколах. Более 200 производителей, включая Siemens, используют библиотеки NicheStack, и пользователям рекомендуется срочно применить исправления безопасности.

Компания Forescout подробно описала каждую из уязвимостей в своем блоге - они связаны с процессами неправильного формирования пакетов, которые позволяют злоумышленнику посылать инструкции для чтения или записи в те части памяти, которые не должны быть доступны. Это может вывести устройство из строя и нарушить работу сетей, а также позволить злоумышленникам создать код для выполнения вредоносных действий, включая получение контроля над устройством.

Обнаружение новых уязвимостей является продолжением проекта Project Memoria, исследовательской инициативы Forescout по изучению уязвимостей стека TCP/IP и разработке способов их устранения. Уязвимости INFRA:HALT были обнаружены благодаря этим исследованиям.

Все версии NicheStack до версии 4.3 - включая NicheLite - затронуты уязвимостями, информация о которых была передана компании HCC Embedded приобретшей NicheStack в 2016 году.

Полный перечень уязвимых устройств неизвестен, но исследователи смогли выявить более 6400 устройств с помощью Shodan, поисковой системы Интернета вещей.

«Когда вы имеете дело с операционными технологиями, сбои в работе устройств и систем могут иметь различные серьезные последствия. В них также есть возможности удаленного выполнения кода, уязвимости, которые позволят злоумышленникам получить контроль над устройством, и не просто вывести его из строя, а заставить его вести себя не так как задумано или использовать его для проникновения в сеть» - сообщил ZDNet Даниэль дос-Сантос, менеджер по исследованиям в исследовательской лаборатории Forescout.

Для удаленного выполнения кода злоумышленникам потребуется детальное знание систем, но вывод устройства из строя произвести гораздо проще, что может привести к значительным последствиям, особенно если устройство помогает контролировать или отслеживать критическую инфраструктуру».

Компании Forescout и JFrog Security Research связались с HCC Embedded для раскрытия уязвимостей, а также обратились в CERT в рамках скоординированного процесса раскрытия уязвимостей. Компания HCC Embedded подтвердила, что Forescout связалась с ними по поводу уязвимостей и что для их устранения были выпущены исправления.

«Мы устраняли эти уязвимости в течение последних шести месяцев или около того, и мы выпустили исправления для всех клиентов, которые поддерживают свое программное обеспечение» - сообщил ZDNet Дейв Хьюз, генеральный директор HCC Embedded, добавив, что при правильной конфигурации среды маловероятно, что злоумышленники смогут внедрить вредоносный код или получить контроль над устройствами.

«Это реальные уязвимости, это слабые места в стеке. Однако опасность большинства из них чрезвычайно зависит от того, как вы используете программное обеспечение и как вы его интегрируете.»

«Если у компании есть отдел безопасности, который разбирается в DNS poisoning и тому подобных вещах, то она вообще не будет уязвима потому что всё настроено безопасным образом» - заявил Хьюз.

Исследователи также связались с координационными агентствами, включая Координационный центр CERT, BSI (Федеральное управление кибербезопасности Германии) и ICS-CERT (Группа реагирования на чрезвычайные ситуации в промышленных системах управления) по поводу уязвимостей. Компания Siemens также выпустила предупреждение об уязвимостях - хотя только четыре из них затрагивают продукты Siemens.

Для защиты операционных технологий от любых кибератак исследователи из Forescout рекомендуют проводить сегментацию сети, чтобы системы, которым не нужен доступ в Интернет, не могли быть удаленно обнаружены. Серверы которым вообще не нужно подключаться к Интернету рекомендуется размещать в отдельной изолированной сети.

Компания Forescout выпустила скрипт с открытым исходным кодом для обнаружения устройств, использующих NicheStack, чтобы обеспечить видимость небезопасных устройств и помочь защитить их.

Источник: https://is-systems.org