卡巴斯基實驗室的研究人員發(fā)現(xiàn)，荷蘭SIM卡制造商金雅拓(Gemalto) 的軟件授權(quán)解決方案 Sentinel LDK 中存在14個漏洞，從而使得大量工業(yè)系統(tǒng)和企業(yè)系統(tǒng)易遭遇遠程攻擊。

金雅拓Sentinel LDK

Sentinel LDK 是金雅拓公司推出的軟件授權(quán)解決方案，可全方位解決軟件許可生命周期中的各種問題，包括軟件知識產(chǎn)權(quán)保護問題、防止非授權(quán)使用、產(chǎn)品功能組合打包、許可升級更新管理等，可切實提高軟件安全性、許可管理透明度等諸多困擾軟件開發(fā)商的難題。全球許多企業(yè)在企業(yè)和ICS網(wǎng)絡(luò)中使用該解決方案。除了軟件組件，Sentinel LDK 還提供基于軟件的保護，尤其是 SafeNet Sentinel USB令牌(例如USB電子狗)，可供用戶連接到 PC 或服務(wù)器激活某款產(chǎn)品。

關(guān)于Sentinel 組件中的漏洞分析

研究人員發(fā)現(xiàn)，當 SafeNet Sentinel USB令牌連接到設(shè)備時，會安裝必要的驅(qū)動(由Windows下載或由第三方軟件提供)，端口1947會被添加到 Windows 防火墻的例外列表中。當拔出 USB令牌后，這個端口仍處于開放狀態(tài)，從而允許對系統(tǒng)進行遠程訪問。

金雅拓產(chǎn)品曝14個漏洞，工控和企業(yè)系統(tǒng)易遭遠程攻擊-E安全

專家共在 Sentinel 組件中發(fā)現(xiàn)14個漏洞，其中一些允許執(zhí)行 DoS 攻擊，任意代碼執(zhí)行以及捕獲 NTLM 哈希等。由于端口1947 允許訪問系統(tǒng)，導(dǎo)致遠程攻擊者可利用這些漏洞。部分漏洞列舉：

CVE-2017-11496 - 遠程執(zhí)行代碼

CVE-2017-11497 - 遠程執(zhí)行代碼

CVE-2017-11498 - 拒絕服務(wù)

CVE-2017-12818 - 拒絕服務(wù)

CVE-2017-12819 - NTLM哈希捕獲

CVE-2017-12820 - 拒絕服務(wù)

CVE-2017-12821 - 遠程代碼執(zhí)行

CVE-2017-12822 - 使用配置文件進行遠程操作

卡巴斯基公司的 ICS CERT 團隊在執(zhí)行滲透測試任務(wù)期間遇到該問題，于是決定對產(chǎn)品進行分析。惡意人員能夠掃描端口1947 找到遠程可訪問的設(shè)備，或者對目標設(shè)備進行物理訪問，從而連接 USB令牌(即使計算機被鎖定)，以此進行遠程訪問。

金雅拓這款產(chǎn)品還包含可供遠程啟用和禁用管理員接口和更改設(shè)置(包括獲取語言包的代理設(shè)置)的 API。 更改代理就能允許攻擊者獲取用來運行許可軟件進程的賬戶 NTLM 哈希。

除安裝最新版本的 Sentinel 驅(qū)動外，若非常規(guī)操作必要，卡巴斯基建議用戶關(guān)閉端口1947。

漏洞已修復(fù)，但未充分告知消費者

卡巴斯基實驗室于2016年底和2017年初共發(fā)現(xiàn)了11個漏洞，其它3個漏洞于2017年6月被發(fā)現(xiàn)。金雅拓收到通知后已在版本 7.6 中修復(fù)了漏洞，但卡巴斯基對其處理方式表示并不滿意。金雅拓2017年6月才解決第一批漏洞，并且金雅拓未充分告知消費者關(guān)于漏洞的風險。多名使用該解決方案的軟件開發(fā)人員向卡巴斯基表示，他們并未意識到安全漏洞的存在，仍在使用易遭受攻擊的版本。

主要影響北美及歐洲地區(qū)

卡巴斯基預(yù)測這款產(chǎn)品可能有數(shù)百萬臺，但目前尚不清楚確切的設(shè)備數(shù)量，根據(jù) Forst & Sullivan 公司2011年發(fā)布的研究報告顯示，SafeNet Sentinel 在北美許可控制解決方案市場的占比高達40%，歐洲市場占比為60%。

知名大型企業(yè)受影響

多家大型企業(yè)也使用這款軟件，包括ABB、通用電氣、惠普、西門子、Cadac Group 以及 Zemax。

不久前，美國ICS-CERT 和西門子警告稱，因使用金雅拓軟件，十幾個SIMATIC WinCC 擴展版本受到三個高危漏洞影響。西門子表示，其中兩個漏洞和語言包的處理方式有關(guān)，攻擊者能夠發(fā)起 DoS 和任意代碼執(zhí)行攻擊。 西門子2015年及更早之前發(fā)布的 SIMATIC WinCC 擴展受漏洞影響。

金雅拓產(chǎn)品曝14個漏洞，工控和企業(yè)系統(tǒng)易遭遠程攻擊-E安全

示例腳本加載語言包文件

卡巴斯基 ICS-CERT 漏洞研究組負責人弗拉基米爾·丹什琴克表示，Sentinel LDK 應(yīng)用廣泛，其漏洞可能引發(fā)非常嚴重的后果，因為這些令牌不僅用于常規(guī)的企業(yè)環(huán)境中，還用于具有嚴格遠程訪問規(guī)則的關(guān)鍵設(shè)施中。后者可能會因此而輕易崩潰，將關(guān)鍵網(wǎng)絡(luò)置于風險之中。