کمیته رکن چهارم – تعداد قابل توجهی از سیستمهای صنعتی و شرکتهای بزرگ به علت وجود بیش از ده آسیب پذیری در محصولات امنیتی Gemalto در معرض خطر حملات از راه دور قرار گرفتند.
Gemalto Sentinel LDK یک نرمافزار امنیتی است که ارگانهای بسیاری در سراسر جهان چه سازمانها و چه ICSها (سیستمهای کنترل صنعتی) از آن استفاده میکنند. این راهکار علاوه بر اجزای نرمافزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم میکند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.
محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب میشوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرمافزارهای شخص ثالث ارائه میگردد و پورت ۱۹۴۷ به لیست استثناها در فایروال ویندوز اضافه میشود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم میگردد.
کارشناسان در مجموع ۱۴ آسیبپذیری را در اجزای Sentinel یافته اند که این آسیب پذیریها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان میدهد. از آنجا که پورت ۱۹۴۷ اجازه دسترسی به سیستم را میدهد این آسیبپذیری و نقوص میتواند توسط یک مجرم از راه دور اکسپلویت شود.
کسپرسکی پس از این موضوع تصمیم به آنالیز نرمافزار گرفت. تحقیقات نشان داد که مجرمان میتوانند شبکه را برای پورت ۱۹۴۷ شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند میتوانند دستگاهها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) میتوانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه میدهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.
یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال ۲۰۱۶ و اوایل سال ۲۰۱۷ کشف شد و سه مورد دیگر آنها در ماه ژوئن سال ۲۰۱۷ یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه ۷٫۶ خود را منتشر ساخت. در اواخر ژوئن سال ۲۰۱۷ تعدادی از آسیب پذیریها پچ شد اما این در حالی بود که Gemalto از میزان خطرات این آسیب پذیریها و آپدیتهای لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرمافزاری که از این لایسنسها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخههای دارای مشکل هستند.
علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه میکند که پورت ۱۹۴۷ خود را در صورتی که برای فعالیتهای خاصی از آن استفاده نمیکنند، ببندند.
در حالی که تعداد دقیق دستگاههای مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال ۲۰۱۱ Frost و Sullivan نشان میدهد که SafeNet Sentinel ۴۰ درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و ۶۰ درصد در اروپا دارد.
آسیبپذیری نرمافزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.
هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرمافزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص میتواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.
Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرمافزار آسیبپذیر Gemalto در افزونههای SIMATIC WinCC که در سال ۲۰۱۵ و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.
Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT لابراتوار کسپرسکی هشدار داد که “با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکنها نه تنها در محیطهای سازمانها بلکه در مکانهای حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکههای بحرانی و حیاتی میتوانند به راحتی توسط این آسیبپذیری دچار آلودگی و در معرض خطر قرار گیرند.
منبع : ایتنا
