SafeNet Sentinel-дегі аса маңызды осалдық

Компьютерлік инциденттерге әрекет ету қызметі Gemalto компаниясының SafeNet Sentinel бағдарламалық-аппараттық кешеніндегі осалдық туралы хабарлайды.

Kaspersky Lab ICS CERT сарапшылары ену тұрғысынан тестілер жүргізген уақытта тапсырыс берушілердің әртүрлі өнеркәсіптік вендорлардың бағдарламалық және аппараттық шешімдері пайдаланылатын компьютерлерінде бір ғана сервистің орын алатынын бірнеше рет байқаған. Аталған сервиске онда осалдық айқындалғанға дейін назар аударылмаған. Бұл Gemalto компаниясының SafeNet Sentinel бағдарламалық-аппараттық кешеніне жататын hasplms.exe сервисі екені анықталды. Ол шешім тапсырыс берушілер пайдаланатын БҚ лицензияларын бақылауға жауап береді және көптеген ТП АБЖ мен IT жүйелерде кеңінен таралған болып табылады.

Шешімнің бағдарламалық бөлігінде драйвер, веб қосымшасы және басқа бағдарламалық компоненттер жинағы қамтылған. Аппараттық бөлігі USB-токен болып табылады. Токенді лицензия талап етілетін БҚ-сы бар дербес компьютерге немесе серверге қосу қажет. USB-токендердің кейбір модельдері төмендегі кестеде беріледі.

Мұндай лицензияларды бақылау құралдары жұмысының қағидаты:

қандай да бір бағдарламалық қамтылымның дұрыс жұмыс істеуі үшін лицензия талап етіледі; USB-токен компьютерге қойылғаннан кейін бағдарламалық қамтылым осы лицензияны «көріп», толық жұмыс істей бастайды. Токен әр іске қосылған сайын және бағдарламалық қамтылым пайдаланылған барлық уақытта қосылуы тиіс. Gemalto шешімінің бағдарламалық бөлігі бір рет орнатылады және токенді талап ететін БҚ-ның өмірлік цикліне байланыссыз үнемі жұмыс істеуді жалғастырады.

Gemalto компаниясының бұл шешімі басқа БҚ өндірушілері өнімдерінің құрамына кіреді. Олардың арасында ABB, General Electric, Siemens, HP, Cadac Group, Zemax сынды компаниялар мен кейбір бағалаулар бойынша саны 40 мыңға жететін көптеген басқа ұйымдар.

Зерттеушілердің көзқарасы тұрғысынан hasplms.exe жүйедегі іс-қимылы едәуір қызықты болды: қашықтықтан қол жеткізіп, онымен 1947 ашық порты бойынша байланысу мүмкін болды. Хаттама түрі желілік пакеттің тақырыбымен айқындалды – HTTP немесе меншікті бинарлық хаттама пайдаланылды. Сондай-ақ сервистің HTTP-хаттамасында өрістетілген өз API болды.

Сервисті талдау үдерісін бинарлық файлдың VMProtect түріндегі протекторымен қорғалып, Gemalto түпнұсқалық кодынан өзінің байт-кодын жасауы қиындатты. Сондықтан осал сервистің іс-қимылын зерттеудің негізгі аспабы ретінде фаззингті қолдану шешімі қабылданды.

Шабуылдың бұл векторын LPE (басымдықтарды локальдық жоғарылату) қолданбай-ақ пайдалануға болады – осал үдеріс SYSTEM құқықтарымен іске қосылып, бұл кодты ең жоғары басымдықтарымен орындауға мүмкіндік береді.

Результат эксплуатации Buffer Overflow, который ведет к RCE

RCE-ге келтіретін Buffer Overflow пайдаланудың нәтижесі

Бұл осалдыққа CVE-2017-11496 нөмірі берілді.

Kaspersky Lab ICS CERT тағы үш осалдықты айқындады: XML-бомбасы мен екі қызмет көрсетуден бас тарту, олардың біреуі еркін кодты қашықтықан орындауға әкелетіні ықтимал.

Осылай, барлығы өте қауіпті 14 осалдық айқындалды (мәселен, Еркін кодты қашықтықан орындау түріндегі барлық осалдықтар SYSTEM құқықтарымен автоматты түрде пайдаланылады – бұл Windows ОЖ-дағы ең басымды құқықтар).

Барлық табылған осалдықтар тиісті CVE нөмірлерін алды:

CVE-2017-11496 – Remote Code Execution

CVE-2017-11497 – Remote Code Execution

CVE-2017-11498 – Denial of Service

CVE-2017-12818 – Denial of Service

CVE-2017-12819 – NTLM hash capturing

CVE-2017-12820 – Denial of Service

CVE-2017-12821 – Remote Code Execution

CVE-2017- 12822 – Remote manipulations with configuration files

Kaspersky Lab ICS CERT сарапшылары hasplms.exe әдеттегі емес функционалдығын айқындады:

  • Gemalto компаниясы шығарған USB-токенді компьютерге бірінші рет қосқан жағдайда (тіпті бұғатталған белсенді сессиясы кезінде!), интернетке қолжетімділік болған кезде 1947 портында драйвер мен желілік қосылуларды қабылдайтын қызметті автоматты орнату орындалады;
  • Gemalto сайтынан драйверді қолмен орнатқан жағдайда 1947 портында драйвер мен желілік қосылуларды қабылдайтын қызметті орнату, сондай-ақ 1947 портын Windows желіаралық экранының ерекшеліктеріне қосу орындалады;
  • Gemalto БҚ-сын үшінші тараптың БҚ орнату файлының құрамында орнатқан жағдайда, 1947 порты сондай-ақ Windows желіаралық экранының ерекшеліктеріне қосылады;
  • Веб-интерфейсте SafeNet Sentinel бағдарламалық-аппараттық кешеннің бағдарламалық бөлігінің баптауларын өзгертуге мүмкіндік беретін әкімшілік панелін қосуға және ажыратуға мүмкіндік беретін API-функциясы бар. Панель local host 127.0.0.1 IP-мекенжайы бойынша өздігінен қолжетімді;
  • API пайдалана отырып, тілдік пакеттерді жаңарту үшін ішкі прокси-сервердің баптауларын өзгертуге болады;
  • Прокси-серверді өзгерткеннен кейін сервистің ішкі логикасын пайдалана отырып, пайдаланушының hasplms.exe (SYSTEM) процесін іске қосқан NTLM-хешін алуға болады.

Сарапшылар драйвердің соңғы (қауіпсіз) нұсқасын орнатуды немесе драйверді жаңарту жөнінде нұсқаулықтар алу үшін Gemalto компаниясымен байланысуды ұсынады.

Сонымен қатар ең болмаса сыртқы (периметрлік) желіаралық экрандағы 1947 портты жабу ұсынылады – бірақ ол бизнес-процестерді бұзбайтын жағдайда ғана.

Бұл осалдықтарды пайдалану тәуекелін төмендетуге мүмкіндік береді.

Өз өнімдерінің құрамында үшінші тараптың шешімдерін пайдаланатын кейбір БҚ өндірушілері сыртқы шешімдердің қауіпсіздігін өтеуді басқа компанияларға (осы шешімдердің өндірушілеріне) беріп, өз кодының қауіпсіздігін қадағалай алады.

Источник:Kaspersky Lab ICS CERT