合江资讯
当前位置:合江资讯 > 健康养生 > 波音集团盘口_金雅拓曝14个漏洞正在威胁工控系统安全

波音集团盘口_金雅拓曝14个漏洞正在威胁工控系统安全

发布时间:2020-01-10 18:16:05

波音集团盘口_金雅拓曝14个漏洞正在威胁工控系统安全

波音集团盘口,更多全球网络安全资讯尽在e安全官网www.easyaq.com

e安全1月24日讯 卡巴斯基实验室的研究人员发现,荷兰sim卡制造商金雅拓(gemalto) 的软件授权解决方案 sentinel ldk 中存在14个漏洞,从而使得大量工业系统和企业系统易遭遇远程攻击。

金雅拓sentinel ldk

sentinel ldk 是金雅拓公司推出的软件授权解决方案,可全方位解决软件许可生命周期中的各种问题,包括软件知识产权保护问题、防止非授权使用、产品功能组合打包、许可升级更新管理等,可切实提高软件安全性、许可管理透明度等诸多困扰软件开发商的难题。全球许多企业在企业和ics网络中使用该解决方案。除了软件组件,sentinel ldk 还提供基于软件的保护,尤其是 safenet sentinel usb令牌(例如usb电子狗),可供用户连接到 pc 或服务器激活某款产品。

关于sentinel 组件中的漏洞分析

研究人员发现,当 safenet sentinel usb令牌连接到设备时,会安装必要的驱动(由windows下载或由第三方软件提供),端口1947会被添加到 windows 防火墙的例外列表中。当拔出 usb令牌后,这个端口仍处于开放状态,从而允许对系统进行远程访问。

专家共在 sentinel 组件中发现14个漏洞,其中一些允许执行 dos 攻击,任意代码执行以及捕获 ntlm 哈希等。由于端口1947 允许访问系统,导致远程攻击者可利用这些漏洞。部分漏洞列举:

cve-2017-11496 - 远程执行代码

cve-2017-11497 - 远程执行代码

cve-2017-11498 - 拒绝服务

cve-2017-12818 - 拒绝服务

cve-2017-12819 - ntlm哈希捕获

cve-2017-12820 - 拒绝服务

cve-2017-12821 - 远程代码执行

cve-2017-12822 - 使用配置文件进行远程操作

卡巴斯基公司的 ics cert 团队在执行渗透测试任务期间遇到该问题,于是决定对产品进行分析。恶意人员能够扫描端口1947 找到远程可访问的设备,或者对目标设备进行物理访问,从而连接 usb令牌(即使计算机被锁定),以此进行远程访问。

金雅拓这款产品还包含可供远程启用和禁用管理员接口和更改设置(包括获取语言包的代理设置)的 api。 更改代理就能允许攻击者获取用来运行许可软件进程的账户 ntlm 哈希。

除安装最新版本的 sentinel 驱动外,若非常规操作必要,卡巴斯基建议用户关闭端口1947。

卡巴斯基实验室于2016年底和2017年初共发现了11个漏洞,其它3个漏洞于2017年6月被发现。金雅拓收到通知后已在版本 7.6 中修复了漏洞,但卡巴斯基对其处理方式表示并不满意。金雅拓2017年6月才解决第一批漏洞,并且金雅拓未充分告知消费者关于漏洞的风险。多名使用该解决方案的软件开发人员向卡巴斯基表示,他们并未意识到安全漏洞的存在,仍在使用易遭受攻击的版本。

主要影响北美及欧洲地区

卡巴斯基预测这款产品可能有数百万台,但目前尚不清楚确切的设备数量,根据 forst & sullivan 公司2011年发布的研究报告显示,safenet sentinel 在北美许可控制解决方案市场的占比高达40%,欧洲市场占比为60%。

多家大型企业也使用这款软件,包括abb、通用电气、惠普、西门子、cadac group 以及 zemax。

不久前,美国ics-cert 和西门子警告称,因使用金雅拓软件,十几个simatic wincc 扩展版本受到三个高危漏洞影响。西门子表示,其中两个漏洞和语言包的处理方式有关,攻击者能够发起 dos 和任意代码执行攻击。 西门子2015年及更早之前发布的 simatic wincc 扩展受漏洞影响。

示例脚本加载语言包文件

卡巴斯基 ics-cert 漏洞研究组负责人弗拉基米尔·丹什琴克表示,sentinel ldk 应用广泛,其漏洞可能引发非常严重的后果,因为这些令牌不仅用于常规的企业环境中,还用于具有严格远程访问规则的关键设施中。后者可能会因此而轻易崩溃,将关键网络置于风险之中。

世界杯足球开户网

上一篇:经传多赢投资咨询被查2宗违规 遭责令暂停新增客户
下一篇:副总理刘鹤的最新兼职亮相:肩负国企改革顶层设计