Kaspersky Lab Endüstriyel Kontrol Sistemleri Siber Acil Müdahale Ekibi, HASP lisans yönetim sisteminde çok sayıda açık keşfetti Popüler lisans yönetimi kimlik doğrulama cihazı, saldırganlar için gizli bir uzaktan erişim kanalı açıyor.
Kaspersky Lab ICS CERT araştırmacıları, lisanslı yazılımları etkinleştirmek için kurumlarda ve endüstriyel kontrol sistemlerinde sıkça kullanılan Hardware Against Software Piracy (HASP) lisans yönetim sisteminde çok sayıda ciddi açık buldu. Açıktan etkilenen sistem sayısı tüm dünyada yüz binlere ve hatta daha fazlasına ulaşabilir.
USB lisans doğrulama cihazları, yazılım lisanslarını kolaylıkla etkinleştirmek için birçok farklı kurumda sıkça kullanılıyor. Normal kullanım senaryosunda, bir şirketin sistem yöneticisinin etkinleştirilmesi gereken yazılımın bulunduğu bilgisayara cihazı takması gerekiyor. Cihaz, yasal olduğunu (korsan olmadığı) onayladıktan sonra yazılımı etkinleştiriyor. Böylece o bilgisayarı veya sunucuyu kullanan kişi yazılımı da kullanabiliyor.
Lisans doğrulama cihazı bir bilgisayara veya sunucuya ilk kez takıldığında, Windows işletim sistemi yazılım markasının sunucularından sürücüyü indirerek, cihaz donanımının bilgisayar donanımıyla uyumlu çalışmasını sağlıyor. Diğer durumlarda ise sürücü, lisans koruması için bu sistemi kullanan üçüncü taraf yazılımıyla birlikte kuruluyor. Uzmanlar, bu
yazılımın, kurulum sonrasında bilgisayardaki 1947 portunu kullanıcıya gerekli bilgi vermeden Windows Güvenlik Duvarı’nın dışında bıraktığını ve böylece uzaktan bir saldırıya açık hale getirdiğini keşfetti. Saldırganlar bu sayede uzaktan erişebilecekleri bilgisayarları, hedef aldıkları ağdaki açık 1947 portunu tarayarak belirleyebiliyorlar.
Daha da önemlisi, doğrulama cihazı çıkarıldıktan sonra da port açık kalmaya devam ediyor. Saldırganlar, güncellemeleri yapılmış ve koruma altındaki bir kurumsal ortamı bile yalnızca HASP çözümünü kullanıp, bir yazılım yükleyerek veya bir bilgisayara (kilitli olsa bile) doğrulama cihazı takarak saldırılara açık hale getirebiliyorlar.
-Reklam-
Araştırmacılar, yazılım çözümünün bir bileşeninde 14 adet açık belirledi. Bunların arasında kullanıcı haklarıyla değil otomatik olarak en yetkili sistem haklarıyla kullanılabilen birden çok DoS açığı ve çok sayıda RCE (istenilen kodların uzaktan çalıştırılması) yer alıyor. Böylece saldırganlar istedikleri kodları çalıştırma fırsatı elde ediyorlar. Çok tehlikeli olan bu açıkların tümü kurumlar için büyük zararlara neden olma potansiyeline sahip.
Elde edilen tüm bilgiler yazılım markasına iletildi. Saptanan tüm açıklar şu CVE numaralarını aldı:
– CVE-2017-11496 – Remote Code Execution
<https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-003-sentinel-ldk-rte-malformed-asn1-streams-in-v2c-files-lead-to-remote-code-execution/>
– CVE-2017-11497 – Remote Code Execution
<https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-002-sentinel-ldk-rte-language-packs-containing-malformed-filenames-lead-to-remote-code-execution/>
– CVE-2017-11498 – Denial of Service
<https://ics-cert.kaspersky.com/advisories/2017/07/28/klcert-17-001-sentinel-ldk-rte-language-pack-with-invalid-html-files-leads-to-denial-of-service/>
– CVE-2017-12818 – Denial of Service
<https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-004-sentinel-ldk-rte-stack-overflow-in-custom-xml-parser-leads-to-remote-denial-of-service/>
– CVE-2017-12819 – NTLM hash capturing
<https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-005-sentinel-ldk-rte-remote-manipulations-with-language-pack-updater-lead-to-ntlm-relay-attack-for-system-user/>
– CVE-2017-12820 – Denial of Service
<https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-006-sentinel-ldk-rte-arbitrary-memory-read-from-controlled-memory-pointer-leads-to-remote-denial-of-service/>
– CVE-2017-12821 – Remote Code Execution
<https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-007-sentinel-ldk-rte-memory-corruption-might-cause-remote-code-execution/>
– CVE-2017- 12822 – Remote manipulations with configuration files
<https://ics-cert.kaspersky.com/advisories/klcert-advisories/2017/10/02/klcert-17-008-sentinel-ldk-rte-remote-enabling-and-disabling-admin-interface/>
Kaspersky Lab ICS CERT Açık Araştırma Grubu Lideri Vladimir Dashchenko, “Bu lisans yönetim sisteminin ne kadar yaygın kullanıldığı düşünüldüğünde, ortaya çıkabilecek sonuçların ölçeğinin de çok geniş olduğu görülüyor. Bu doğrulama cihazları yalnızca kurumlarda değil sıkı uzaktan erişim kurallarına sahip kritik tesislerde de kullanılıyor. Keşfettiğimiz sorun ile bu sıkı erişim kuralları çok kolay bir şekilde kırılabilir ve kritik önem taşıyan ağlar tehlike altında kalabilir” dedi.
Kaspersky Lab keşfettiği açıkları ilgili yazılım markalarına iletti ve bu şirketler de güvenlik yamaları yayınladı. Kaspersky Lab ICS CERT, bu sorundan etkilenen ürünleri kullananlara şunları öneriyor:
– Mümkün olan en kısa zamanda sürücünün en son (güvenli) sürümünü
yükleyin <https://sentinelcustomer.gemalto.com/sentineldownloads/> veya
sürücüyü güncellemek için marka ile iletişime geçin.
– İş süreçlerine engel olmadığı takdirde, en azıdan dış güvenlik
duvarında (ağ sınırında) 1947 portunu kapatın.
