Kritické chyby ovplyvňujú vstavaný zásobník TCP/IP široko používaný v priemyselných riadiacich zariadeniach

Výskumníci v oblasti kybernetickej bezpečnosti v stredu odhalili 14 zraniteľností ovplyvňujúcich bežne používaný zásobník TCP/IP používaný v miliónoch zariadení prevádzkových technológií (OT) vyrobených nie menej ako 200 dodávateľmi a nasadených vo výrobných závodoch, výrobe energie, úprave vody a sektoroch kritickej infraštruktúry.

Nedostatky, spoločne nazývané „INFRA:HALT“, sa zameriavajú na NicheStack, čo potenciálne umožňuje útočníkovi dosiahnuť vzdialené spustenie kódu, odmietnutie služby, únik informácií, spoofing TCP a dokonca otravu vyrovnávacej pamäte DNS.

NicheStack (známy ako InterNiche stack) je uzavretý zásobník TCP/IP pre vstavané systémy, ktorý je navrhnutý tak, aby poskytoval priemyselné zariadenia s pripojením na internet a je začlenený hlavnými dodávateľmi priemyselnej automatizácie, ako sú Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation a Schneider Electric vo svojich programovateľných logických automatoch (PLC) a iných produktoch.

“Útočníci by mohli narušiť systém HVAC budovy alebo prevziať ovládače používané vo výrobe a inej kritickej infraštruktúre,” uviedli vedci z JFrog a Forescout v spoločnej správe zverejnenej dnes. “Úspešné útoky môžu viesť k tomu, že sa zariadenia OT a ICS odpojí a ich logika bude unesená. Napadnuté zariadenia môžu šíriť malvér tam, kde komunikujú v sieti.”

Všetky verzie NicheStack pred verziou 4.3 sú citlivé na INFRA:HALT, s približne 6400 zariadení OT vystavených online a pripojených k internetu od marca 2021, z ktorých väčšina sa nachádza v Kanade, USA, Španielsku, Švédsku a Taliansku.

Zoznam 14 nedostatkov je nasledovný –

  • CVE-2020-25928 (skóre CVSS: 9.8) – Neobmedzené čítanie/zápis pri analýze odpovedí DNS, čo vedie k vzdialenému spusteniu kódu
  • CVE-2021-31226 (skóre CVSS: 9.1) – Chyba pretečenia vyrovnávacej pamäte haldy pri analýze požiadaviek HTTP post, čo vedie k vzdialenému spusteniu kódu
  • CVE-2020-25927 (skóre CVSS: 8.2) – Čítanie mimo hraníc pri analýze odpovedí DNS, čo vedie k odmietnutiu služby
  • CVE-2020-25767 (skóre CVSS: 7.5) – Neoprávnené čítanie pri analýze názvov domén DNS, čo vedie k odmietnutiu služby a sprístupneniu informácií
  • CVE-2021-31227 (skóre CVSS: 7.5) – Chyba pretečenia vyrovnávacej pamäte haldy pri analýze požiadaviek HTTP post, čo vedie k odmietnutiu služby
  • CVE-2021-31400 (skóre CVSS: 7.5) – Scenár nekonečnej slučky vo funkcii naliehavého spracovania údajov mimo pásma TCP, čo spôsobuje odmietnutie služby
  • CVE-2021-31401 (skóre CVSS: 7.5) – Chyba pretečenia celého čísla v kóde spracovania hlavičky TCP
  • CVE-2020-35683 (skóre CVSS: 7.5) – Čítanie mimo hraníc pri analýze paketov ICMP, čo vedie k odmietnutiu služby
  • CVE-2020-35684 (skóre CVSS: 7.5) – Čítanie mimo hraníc pri analýze paketov TCP, čo vedie k odmietnutiu služby
  • CVE-2020-35685 (skóre CVSS: 7.5) – Predvídateľné počiatočné poradové čísla (ISN) v TCP spojeniach, čo vedie k TCP spoofingu
  • CVE-2021-27565 (skóre CVSS: 7.5) – Stav odmietnutia služby pri prijatí neznámej požiadavky HTTP
  • CVE-2021-36762 (skóre CVSS: 7.5) – Čítanie mimo rámec funkcie spracovania paketov TFTP, čo vedie k odmietnutiu služby
  • CVE-2020-25926 (skóre CVSS: 4.0) – Klient DNS nenastavuje dostatočne náhodné ID transakcií, čo spôsobuje otravu vyrovnávacej pamäte
  • CVE-2021-31228 (skóre CVSS: 4.0) – Dá sa predpokladať, že zdrojový port DNS dotazov bude odosielať falošné pakety DNS odpovede, čo spôsobí otravu cache

Zverejnenia predstavujú šiesty prípad, keď boli identifikované bezpečnostné nedostatky v súboroch protokolov, ktoré sú základom miliónov zariadení pripojených k internetu. Je to tiež štvrtá skupina chýb, ktoré boli odhalené v rámci systematickej výskumnej iniciatívy s názvom Project Memoria na štúdium bezpečnosti široko používaných zásobníkov TCP/IP, ktoré rôzni predajcovia začlenili do svojho firmvéru, aby ponúkali funkcie pripojenia k internetu a sieti.

Zatiaľ čo spoločnosť HCC Embedded, ktorá spravuje knižnicu C, vydala softvérové ​​záplaty na riešenie problémov, môže trvať značný čas, kým predajcovia zariadení, ktorí používajú zraniteľné verzie zásobníka, dodajú aktualizovaný firmvér svojim zákazníkom. „Úplná ochrana proti INFRA:HALT vyžaduje opravu zraniteľných zariadení, ale je náročná z dôvodu logistiky dodávateľského reťazca a kritickej povahy zariadení OT,“ poznamenali výskumníci.

Ako zmiernenie, Forescout vydal open-source skript, ktorý používa aktívne odtlačky prstov na detekciu zariadení so systémom NicheStack. Odporúča sa tiež vynútiť kontroly segmentácie, monitorovať všetku sieťovú prevádzku na škodlivé pakety, aby sa znížilo riziko zo zraniteľných zariadení.