Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vo štvrtok vydala varovanie pred viacerými zraniteľnosťami v zásobníku OpENer EtherNet/IP, ktoré by mohli vystaviť priemyselné systémy útokom odmietnutia služby (DoS), únikom údajov a vzdialenému spusteniu kódu.
Ovplyvnené sú všetky potvrdenia a verzie OpENer pred 10. februárom 2021, hoci nie sú známe žiadne verejné exploity, ktoré by sa špecificky zameriavali na tieto zraniteľnosti.
Štyri bezpečnostné chyby objavili a nahlásili CISA výskumníci Tal Keren a Sharon Brizinov zo spoločnosti Claroty na zabezpečenie prevádzkových technológií. Okrem toho, piaty bezpečnostný problém identifikovaný spoločnosťou Claroty bol predtým odhalený spoločnosťou Cisco Talos (CVE-2020-13556) v decembri 2, 2020.
„Útočníkovi by stačilo poslať vytvorené pakety ENIP/CIP do zariadenia, aby zneužil tieto zraniteľnosti,“ uviedli vedci.
CVE-2020-13556 sa týka zraniteľnosti ethernetového/IP servera pri zápise, ktorá by mohla potenciálne umožniť útočníkovi odoslať sériu špeciálne vytvorených sieťových požiadaviek na spustenie vzdialeného spustenia kódu. Je to ohodnotené 9.8 z 10 v závažnosti.
Štyri ďalšie chyby odhalené EIPStackGroup, správcom zásobníka OpENer, v októbri 2020, sú nasledovné:
- CVE-2021-27478 (skóre CVSS: 8.2) – Chyba v spôsobe spracovania požiadaviek Common Industrial Protocol (CIP), čo vedie k stavu DoS
- CVE-2021-27482 (skóre CVSS: 7.5) – Chyba čítania mimo hraníc, ktorá využíva špeciálne vytvorené pakety na čítanie ľubovoľných údajov z pamäte
- CVE-2021-27500 a CVE-2021-27498 (skóre CVSS: 7.5) – Dve dosiahnuteľné chyby zabezpečenia, ktoré by sa dali zneužiť na to, aby viedli k stavu DoS
Predajcom, ktorí používajú zásobník OpENer, sa odporúča aktualizovať na najnovšiu verziu a zároveň prijať ochranné opatrenia na minimalizáciu sieťového vystavenia všetkých zariadení riadiaceho systému internetu, postaviť bariéry brány firewall a izolovať ich od obchodnej siete.
Toto nie je ani zďaleka prvý prípad, kedy boli v balíkoch EtherNet/IP odhalené bezpečnostné problémy. Minulý november výskumníci z Claroty odhalili kritickú zraniteľnosť odhalenú v zásobníku 499ES EtherNet/IP spoločnosti Real-Time Automation (RTA), ktorý by mohol otvoriť priemyselné riadiace systémy vzdialeným útokom protivníkov.
