卡巴斯基、西门子连发警告：金雅拓工控软件存远程访问缺陷

卡巴斯基实验室的研究人员表示，由于金雅拓 (Gemalto) 公司的一款防护和许可产品Gemalto Sentinel LDK中存在十几个漏洞，导致大量工业系统和企业系统易遭远程攻击。

Sentinel 组件中存在14个漏洞

Gemalto Sentinel LDK 是一款软件许可解决方案，被全球组织机构用于企业和工控系统 (ICS) 网络中。除提供软件组件外，该解决方案还提供基于硬件的防护措施。具体来讲，用户可将 SafeNet Sentinel USB 电子狗连接到电脑或服务器上激活某款产品。

研究人员发现，当这个口令附加在某款设备且安装了必要驱动器后（或由 Windows 下载或由第三方软件提供），端口1947 就被添加到 Windows防火墙的例外列表中。即使 USB 电子狗已被删除，这个端口仍然是开放状态，从而导致系统可遭远程访问。

专家总共从 Sentinel 组件中发现了14个漏洞，其中一些可导致 DoS 攻击、以系统权限执行任意代码并捕获 NTLM 哈希。由于端口 1947 允许访问系统，导致远程攻击者可利用这些缺陷。

卡巴斯基公司的 ICS CERT 团队在执行渗透测试任务期间总是遭遇该问题后决定对产品进行分析。恶意人员能够扫描端口1947 找到远程可访问设备，或者如果他们能够物理接近目标机器的话，能够连接USB电子狗上（计算机被锁定也不例外），以此执行远程访问。

金雅拓公司的产品中还包含可供远程启用和禁用管理员接口和更改设置（包括获取语言包的代理设置）的 API。更改代理就能导致攻击者获取运行许可软件进程的用户账户的 NTLM 哈希。

漏洞已修复但未充分知会消费者

卡巴斯基实验室在2016年末和2017年初共发现了11个漏洞，并于2017年6月发现了余下的3个漏洞。金雅拓收到通知后已在版本 7.6 中实现了修复方案，不过卡巴斯基对金雅拓的处理方式并不满意。第一轮缺陷在2017年6月末才得到修复，而且金雅拓并未正确地和消费者沟通这些漏洞带来的风险：多名使用许可管理解决方案的软件开发人员告知卡巴斯基称，他们并未意识到安全漏洞的存在并且仍在继续使用易受攻击的版本。

除安装最新版本的 Sentinel 驱动外，卡巴斯基建议用户称如果常规操作不使用端口1947的话应将其关闭。

虽然无法获知使用 Sentinel 驱动的确切设备数量，但卡巴斯基认为可能有数百万台。Forst 和 Sullivan 公司曾在2011年发布的一项研究中表示, SafeNet Sentinel 在许可控制解决方案市场中占据的北美市场份额是40%，所占据的欧洲份额是60%。

多家著名大型企业受影响

易受攻击的金雅拓软件存在于多家大型企业的产品中，如ABB、通用电气、惠普、西门子、Cadac Group 以及 Zemax。

上周，ICS-CERT 和西门子警告称，因使用金雅拓软件，导致 SIMATIC WinCC 扩展的十几个版本均受三个严重且高危的漏洞影响。西门子表示其中两个缺陷和处理语言包的方式有关，导致产品易受 DoS 和任意代码执行的攻击。

西门子告知消费者称，在2015年及以前年份发布的 SIMATIC WinCC 扩展使用了易受攻击的金雅拓软件。

ICS-CERT 的漏洞研究团队主管 Vladimir Dashchenko表示，“鉴于这个许可管理系统的传播范围广泛，产生的后果可能非常严重，因为这些口令不仅用于常规的企业环境中，还用于具有严格远程访问规则的关键设施中。后者可能会因此而轻易崩溃，从而导致关键网络处于风险之中。”

本文翻译自SecurityWeek

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。