信息泄露、DNS缓存中毒!版本低于4.3的NicheStack受高严重安全漏洞影响

  • zktq2021

    2021-08-06 10:31:00
  • 物联网安全
  • 翻译

被统称为INFRA:HALT的高严重漏洞正在影响所有版本低于4.3的NicheStack,至少200家工业自动化供应商使用该专有TCP/IP堆栈,其中许多处于市场的领先细分市场。

该堆栈通常在实时操作系统(RTOS)上运行操作技术(OT)和工业控制系统(ICS)设备,以提供互联网和网络功能。


远程代码执行风险


INFRA:HALT是由Forescout研究实验室和JFrog安全研究联合发现的一组14个漏洞。这是Forescout的记忆研究项目(Amnesia:33 , NUMBER:JACK , NAME:WRECK )的一部分,专注于TCP/IP堆栈的安全性。

漏洞范围从远程代码执行、拒绝服务 (DoS) 和信息泄漏到TCP欺骗和DNS缓存中毒。

大多数都是高严重性的安全问题,但其中两个:CVE-2020-25928 和 CVE-2020-31226 -被认为是关键严重问题。安全研究人员将他们的严重程度评分分别为9.8和9.1。

它们会影响堆栈中的DNS客户端和HTTP服务器组件,允许远程攻击者在脆弱的设备上执行代码,从而完全控制它。

Forescout和JFrog研究人员在早些时候发布的联合技术报告中解释说,要触发 CVE-2020-25928,攻击者需要发送一个精心设计的DNS数据包作为对来自易受攻击设备的DNS查询的响应。

在一次漏洞演示中,针对CVE-2020-25928安全漏洞,攻击了管理工业风扇的可编程逻辑控制器(PLC)。在发起攻击不久后,PLC无法再激活风扇,需要重启以重新控制风扇。

在攻击中,只需四个步骤即可使PLC崩溃:

  • 设备1,易受INFRA:HALT攻击,向DNS服务器发送DNS请求作为其正常操作的一部分

  • 攻击者向设备1发送包含恶意shellcode的虚假DNS响应

  • 当设备1试图解析DNS响应时,其逻辑被劫持,攻击者获得了对其的远程控制。设备被指示与设备2(连接HVAC的内部PLC)建立TCP连接,并发送一个恶意的FTP数据包,利用该PLC中的0天时间

  • PLC崩溃,迫使风扇控制停止工作

在INFRA:HALT的14个漏洞中,有10个被评为严重程度高的漏洞,2个严重程度低的漏洞,2个严重程度低的漏洞:

大量易受攻击的设备


NicheStack,也称为InterNiches,由HCC Embedded维护。大约200家厂商的设备中都有这个库。该公司的一个旧网站版本列出了一些知名客户:艾默生、霍尼韦尔、三菱电气、罗克韦尔自动化、施耐德电气和西门子。

3月8日对Shodan的搜索显示,有超过6,400台设备运行该堆栈的易受攻击版本。今天的数字可能会更低。

通过查看从其监控的1300多万客户设备中收集的数据,安全研究人员发现来自21家供应商的2500个系统容易受到INFRA:HALT的攻击。

其中近一半(46%)的设备被部署在能源和电力部门的工业控制系统中。其中四分之一在VoIP行业,18%在网络领域。

缓解措施


HCC Embedded已通过可应要求提供的补丁解决了所有INFRA:HALT 漏洞。将版本更新到 NicheStack4.3是目前针对这组安全问题提供全面保护的唯一解决方案。

对于无法立即打补丁的情况,Forescout和JFrog准备了一个脚本来检测运行NicheStack 的设备以及一组可以防止妥协的缓解措施:

将易受攻击的设备与网络的其余部分进行限制和分割,直到修补了它们

CVE-2020-25928、CVE-2020-25767、CVE-2020-25927、CVE-2021-31228、CVE-2020-25926 [DNSv4 客户端]:

如果不需要,可以禁用DNSv4客户端,或阻断DNSv4流量。因为有几个漏洞可以促进DNS欺骗攻击,使用内部DNS服务器可能是不够的(攻击者可能能够劫持请求-响应匹配)

CVE-2021-31226、CVE-2021-31227 [HTTP 服务器]:

如果不需要,禁用HTTP服务器,或将HTTP连接列入白名单

CVE-2021-31400、CVE-2021-31401、CVE-2020-35684 [TCP]

监控格式错误的IPv4/TCP数据包的流量并阻止它们(在正确配置的防火墙后面放置一个易受攻击的设备应该就足够了

CVE-2020-35683 [ICMPv4]

监控格式错误的ICPMv4数据包的流量并进行阻断。

软件安全是网络安全的最基础防线。频繁披露的严重软件安全漏洞意味着,在软件开发时期在关注应用软件功能性能的同时,更要将安全放在首位。尤其在OWASP Top10中,60-70%的安全漏洞类型是通过源代码静态分析技术检测出来的。因此,在软件开发时期进行 静态代码安全检测并及时修复漏洞,不但加强软件抵御恶意软件攻击的能力,同时也能确保网络安全,为企业降低因网络攻击带来的巨大经济损失。

Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

请使用浏览器的分享功能分享到微信等