خطر حمله به سیستمهای سازمانی در آسیبپذیریهای Gemalto
اخبار داغ فناوری اطلاعات و امنیت شبکهتعداد قابل توجهی از سیستمهای صنعتی و شرکتهای بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.
تعداد قابل توجهی از سیستمهای صنعتی و شرکتهای بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.Gemalto Sentinel LDK یک نرمافزار امنیتی است که ارگانهای بسیاری در سراسر جهان چه سازمانها و چه ICSها (سیستمهای کنترل صنعتی) از آن استفاده میکنند. این راهکار علاوه بر اجزای نرمافزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم میکند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.
به گزارش کسپرسکی آنلاین، محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب میشوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرمافزارهای شخص ثالث ارائه میگردد و پورت 1947 به لیست استثناها در فایروال ویندوز اضافه میشود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم میگردد.
کارشناسان در مجموع 14 آسیبپذیری را در اجزای Sentinel یافته اند که این آسیب پذیریها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان میدهد. از آنجا که پورت 1947 اجازه دسترسی به سیستم را میدهد این آسیبپذیری و نقوص میتواند توسط یک مجرم از راه دور اکسپلویت شود.
کسپرسکی پس از این موضوع تصمیم به آنالیز نرمافزار گرفت. تحقیقات نشان داد که مجرمان میتوانند شبکه را برای پورت 1947 شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند میتوانند دستگاهها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) میتوانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه میدهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.
یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال 2016 و اوایل سال 2017 کشف شد و سه مورد دیگر آنها در ماه ژوئن سال 2017 یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه 7.6 خود را منتشر ساخت. در اواخر ژوئن سال 2017 تعدادی از آسیب پذیریها پچ شد اما این در حالی بود که Gemalto از میزان خطرات این آسیب پذیریها و آپدیتهای لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرمافزاری که از این لایسنسها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخههای دارای مشکل هستند.
علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه میکند که پورت 1947 خود را در صورتی که برای فعالیتهای خاصی از آن استفاده نمیکنند، ببندند.
در حالی که تعداد دقیق دستگاههای مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال 2011 Frost و Sullivan نشان میدهد که SafeNet Sentinel 40 درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و 60 درصد در اروپا دارد.
آسیبپذیری نرمافزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرمافزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص میتواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.
Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرمافزار آسیبپذیر Gemalto در افزونههای SIMATIC WinCC که در سال 2015 و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.
Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT لابراتوار کسپرسکی هشدار داد که "با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکنها نه تنها در محیطهای سازمانها بلکه در مکانهای حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکههای بحرانی و حیاتی میتوانند به راحتی توسط این آسیبپذیری دچار آلودگی و در معرض خطر قرار گیرند.
برچسب ها: firewall, IPImen NGFW, شرکتهای بزرگ, سیستمهای صنعتی, Sentinel, Gemalto, بدافزار, آسیب پذیری