ايتنا - خطر حمله به سیستم‎های سازمانی در آسیب‌پذیری‌های Gemalto

Gemalto Sentinel LDK یک نرم‌افزار امنیتی است که ارگان‌های بسیاری در سراسر جهان چه سازمان‌ها و چه ICSها (سیستم‌های کنترل صنعتی) از آن استفاده می‌کنند. این راهکار علاوه بر اجزای نرم‌افزاری، راهکار محافظت مبتنی بر سخت افزار را نیز فراهم می‌کند که به طور خاصی یک دانگل USB با نام SafeNet Sentinelدارد که کاربران هنگام اتصال به یک رایانه یا یک سرور می توانند از آن استفاده کنند.

به گزارش ایتنا از کسپرسکی آنلاین، محققان در لابراتوار کسپرسکی کشف کردند که هنگامی که توکن به دستگاه متصل می شود درایوهای لازم نصب می‌شوند که این موارد یا توسط ویندوز دانلود می شوند یا توسط نرم‌افزارهای شخص ثالث ارائه می‌گردد و پورت 1947 به لیست استثناها در فایروال ویندوز اضافه می‌شود. پورت حتی هنگام خارج کردن دانگل از قسمت USB باقی خواهد ماند و با این مورد اجازه دسترسی از راه دور فراهم می‌گردد.

کارشناسان در مجموع 14 آسیب‌پذیری را در اجزای Sentinel یافته اند که این آسیب پذیری‌ها اجازه استفاده از حمله (DoS)، اجرای کد دلخواه با امتیازات سیستم و ضبط هش NTLM را به مجرمان می‌دهد. از آنجا که پورت 1947 اجازه دسترسی به سیستم را می‌دهد این آسیب‌پذیری و نقوص می‌تواند توسط یک مجرم از راه دور اکسپلویت شود.

کسپرسکی پس از این موضوع تصمیم به آنالیز نرم‌افزار گرفت. تحقیقات نشان داد که مجرمان می‌توانند شبکه را برای پورت 1947 شناسایی و از راه دور اسکن کنند یا که اگر به دستگاه دسترسی فیزیکی داشته باشند می‌توانند دستگاه‌ها را مورد هدف قرار دهند، آنها با اتصال به دانگل USB (حتی در زمانی که سیستم قفل باشد) می‌توانند از راه دور دسترسی کامل بیابند و اهداف خرابکارانه‌ خود را اجرا سازند. تغییر پراکسی به مهاجم اجازه می‌دهد که هش NTLM برای حساب کاربری که در حال اجرای فرایند لایسنس است را بدست آورد.

یازده آسیب پذیری توسط لابراتوار کسپرسکی در اواخر سال 2016 و اوایل سال 2017 کشف شد و سه مورد دیگر آنها در ماه ژوئن سال 2017 یافت شد. در آن زمان هشدارهای لازم در مورد Gemalto داده شد و این شرکت نسخه 7.6 خود را منتشر ساخت. در اواخر ژوئن سال 2017 تعدادی از آسیب پذیری‌ها پچ شد اما این در حالی بود که Gemalto از میزان خطرات این آسیب پذیری‌ها و آپدیت‌های لازم به کاربران خود چیزی نگفته بود. چندین توسعه دهنده نرم‌افزاری که از این لایسنس‌ها استفاده می کردند به کسپرسکی اعلام کردند که آن ها هرگز از باگ های امنیتی مطلع نبودند و همچنان در حال استفاده از نسخه‌های دارای مشکل هستند.

علاوه بر نصب آخرین نسخه از Sentinel driver، لابراتوار کسپرسکی به کاربران توصیه می‌کند که پورت 1947 خود را در صورتی که برای فعالیت‌های خاصی از آن استفاده نمی‌کنند، ببندند.

در حالی که تعداد دقیق دستگاه‌های مصرف کننده از محصول Gemalto نامشخص است اما کسپرسکی معتقد است تعداد آنها می تواند میلیونی باشد. مطالعات سال 2011 Frost و Sullivan نشان می‌دهد که SafeNet Sentinel 40 درصد از سهام بازار را در زمینه راهکارهای کنترل لایسنس یا همان مجوز را در آمریکای شمالی و 60 درصد در اروپا دارد.

آسیب‌پذیری نرم‌افزار Gemalto در محصولات چندین کمپانی از جملهABB, General Electric, HP, Cadac Group Siemens و Zemax یافت شده است.
هفته ی گذشته ICS-CERT و کمپانی Siemens هشدار دادند که بیش از ده نسخه از SIMATIC WinCC Add-On تحت تاثیر سه آسیب پذیری بحرانی شدید توسط نرم‌افزار Gemalto قرار گرفته است. کمپانی Siemens اطلاع داد که این نقص می‌تواند احتمال حملات DoS و اجرای کد دلخواه را به مجرمان بدهد.

Siemens به کاربران خود اطلاع رسانی لازم را اعلام نمود و گفت نرم‌افزار آسیب‌پذیر Gemalto در افزونه‌های SIMATIC WinCC که در سال 2015 و قبل از آن منتشر شده بود، مورد استفاده قرار گرفته است.

Vladimir Dashchenko مدیر گروه تحقیقات آسیب پذیری در ICS CERT لابراتوار کسپرسکی هشدار داد که "با توجه به گستردگی این سیستم مدیریت مجوز، مقیاس احتمالی عواقب بسیار زیاد است، زیرا این توکن‌ها نه تنها در محیط‌های سازمان‌ها بلکه در مکان‌های حیاتی با قوانین دسترسی از راه دور مورد استفاده قرار می گیرد. وی افزود شبکه‌های بحرانی و حیاتی می‌توانند به راحتی توسط این آسیب‌پذیری دچار آلودگی و در معرض خطر قرار گیرند.