Dingxiang: Análisis técnico y evaluación de impacto de la vulnerabilidad "INFRA:HALT"
Recientemente, investigadores de seguridad de redes extranjeros revelaron 14 vulnerabilidades que afectan a las pilas TCP/IP de uso común. Estas vulnerabilidades se denominan "INFRA: HALT". En base a esta serie de vulnerabilidades, los atacantes pueden llevar a cabo ejecución remota de código, denegación de servicio, fuga de información, suplantación de TCP y otros ataques, e incluso implantar códigos maliciosos y virus en la caché de DNS.
El análisis muestra que la serie de vulnerabilidades "INFRA:HALT" afecta principalmente a todas las versiones anteriores a NicheStack 4.3, incluido NicheLite. La mayoría de las empresas de automatización industrial de todo el mundo utilizan la pila de protocolos TCP/IP de NicheStack en los equipos afectados. Son más de 200 fabricantes.
NicheStack, también conocido como InterNiche Stack, es un componente de pila de protocolo TCP/IP de código cerrado de terceros para sistemas integrados. Está diseñado para proporcionar equipos industriales conectados a Internet y se implementa principalmente en plantas de fabricación. , generación de energía y tratamiento y equipamiento de agua en áreas de infraestructura crítica. Contiene controladores lógicos programables (PLC) y otros productos de Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation, Schneider Electric y otros, así como muchas operaciones en áreas de infraestructura crítica como fabricación, generación de energía, tratamiento de agua, etc. Tiene aplicaciones en equipos de tecnología (OT).
"INFRA:HALT" contiene 14 vulnerabilidades de seguridad
La serie de vulnerabilidades "INFRA:HALT" incluye principalmente 14 vulnerabilidades como ejecución remota de código, DoS, fuga de información y suplantación de TCP , que afecta a DNSv4, HTTP, TCP, ICMP y otros módulos, dos de los cuales tienen una puntuación CVSS de más de 9 puntos.
CVE-2020-25928: Esta vulnerabilidad es una vulnerabilidad de seguridad causada por no verificar el campo de longitud de los datos de respuesta (longitud de los datos de respuesta) al analizar una respuesta DNS y no verificar una sola respuesta DNS. Puede causar OOB. -R/W Es una vulnerabilidad de ejecución remota de código que afecta al módulo DNSv4 y tiene una puntuación CVSS de 9,8.
CVE- 2021-31226: Esta vulnerabilidad es una vulnerabilidad de desbordamiento del buffer de montón causada por la falta de verificación de tamaño al analizar solicitudes HTTP POST. Es una vulnerabilidad de ejecución remota de código, que afecta al módulo HTTP, con una puntuación CVSS. de 9.1.
CVE-2020-25767: Esta vulnerabilidad se debe a que al analizar los nombres de dominio DNS, no comprueba si el puntero de compresión apunta dentro del límite del paquete, lo que puede causar OOB-R y eventualmente conducir a ataques DoS. y fuga de información La puntuación CVSS de esta vulnerabilidad es de 7,5 puntos, afectando al módulo DNSv4.
CVE-2020-25927: Esta vulnerabilidad es un problema de seguridad causado por no verificar si la consulta o el número de respuesta específico en el encabezado es consistente con la consulta o respuesta en el paquete DNS al analizar la respuesta DNS. lo que puede provocar ataques DoS. CVSS obtiene 8,2 puntos.
CVE-2021-31227: Esta vulnerabilidad es una vulnerabilidad de desbordamiento del búfer causada por una comparación incorrecta de enteros de firma al analizar solicitudes HTTP POST. Puede desencadenar ataques DoS y afectar el módulo HTTP.
CVE-2021-31400: La función de procesamiento de datos de emergencia fuera de banda de TCP llamará a una función de pánico cuando el puntero final de los datos de emergencia fuera de banda apunte a datos fuera del paquete TCP. Si la función de pánico no elimina la llamada de trampa, provocará un bucle infinito y eventualmente desencadenará un ataque DoS. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE-2021-31401: El código de procesamiento del encabezado TCP no procesa la longitud de la longitud IP (encabezado + datos). Si un atacante falsifica un paquete IP, puede provocar un desbordamiento de enteros, porque la longitud de los datos IP se calcula restando la longitud del encabezado de la longitud de todo el paquete IP. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE-2020-35683: El código que procesa paquetes ICMP se basa en el tamaño de la carga IP para calcular la suma de comprobación ICMP, pero el tamaño de la carga IP no se verifica. Cuando el valor establecido del tamaño de la carga útil IP es menor que el tamaño del encabezado IP, la función de cálculo de la suma de comprobación ICMP puede leerse fuera de los límites, lo que desencadena un ataque DoS. Esta vulnerabilidad afecta al módulo ICMP y tiene una puntuación CVSS de 7,5.
CVE-2020-35684: El código que procesa paquetes TCP se basa en el tamaño de la carga útil IP para calcular la longitud de la carga útil TCP. Cuando el valor establecido del tamaño de la carga útil IP es menor que el tamaño del encabezado IP, la función de cálculo de la suma de comprobación ICMP puede leerse fuera de los límites, lo que desencadena un ataque DoS. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE- 2020-3568: Esta vulnerabilidad se debe a la generación de TCP ISN de forma predecible. Esta vulnerabilidad puede causar suplantación de TCP y afectar el módulo TCP. La puntuación CVSS es 7,5.
CVE- 2021-27565: Cuando se recibe una solicitud HTTP desconocida, se activará el pánico. Esta vulnerabilidad puede provocar ataques DoS, la vulnerabilidad afecta al módulo HTTP y la puntuación CVSS es 7,5.
CVE-2021-36762: La función de procesamiento de paquetes TFTP no puede garantizar si el nombre del archivo es un carácter no terminal, por lo que llamar a strlen() después puede hacer que la caché de paquetes del protocolo se salga de los límites, provocando un ataque DoS. Esta vulnerabilidad afecta al módulo TFTP y tiene una puntuación CVSS de 7,5.
CVE-2020-25926: Esta vulnerabilidad se debe a que el cliente DNS no configura suficientes ID de transacciones aleatorias, lo que puede desencadenar un ataque de envenenamiento de la caché de DNS. La vulnerabilidad afecta al módulo DNSv4 y tiene una puntuación CVSS de 4.
CVE-2021-31228: Un atacante puede predecir el puerto de origen de una consulta DNS, por lo que puede enviar un paquete de solicitud DNS falsificado para que lo reciba el cliente DNS como una respuesta válida a la solicitud, que puede provocar un ataque de envenenamiento de la caché de DNS. La vulnerabilidad afecta al módulo DNSv4 y tiene una puntuación CVSS de 4.
Los fabricantes de controles industriales afectados por la vulnerabilidad "INFRA:HALT"
Un análisis de los equipos de control industrial de Internet en toda la red encontró que los más afectados por la vulnerabilidad "INFRA:HALT" "La serie de vulnerabilidades son principalmente países como Estados Unidos, Canadá, España y Suecia.
Productos afectados por Siemens:
Productos afectados por Honeywell: Aún no se han publicado los boletines de seguridad oficiales para esta serie de vulnerabilidades.
Schneider Electric aún no ha proporcionado parches de corrección de vulnerabilidades y se recomienda mitigar los posibles riesgos de ataques de vulnerabilidad a través de medidas de seguridad como firewalls.
Productos afectados por Honeywell: aún no se han publicado los boletines de seguridad oficiales para esta serie de vulnerabilidades.
Productos afectados por Mitsubishi: aún no se ha publicado el boletín de seguridad oficial para esta serie de vulnerabilidades.
Utilización de la serie de vulnerabilidades INFRA:HALT
Según un documento técnico divulgado por un investigador de seguridad, actualmente existe un cierto nivel de descripción técnica de "INFRA:HALT" serie de vulnerabilidades Sin embargo, el programa de explotación y el POC basados en esta serie de vulnerabilidades aún no se han publicado.
El análisis muestra que los productos que utilizan componentes de pila de protocolos InterNiche son vulnerables a la serie de ataques de vulnerabilidad "INFRA: HALT", y los principales servicios afectados son HTTP, FTP, TELNET, SSH y otros servicios. Al consultar a Shodan, se descubrió que hay más de 6.400 dispositivos ejecutando la pila de protocolos NicheStack. 6.360 de ellos ejecutan servidores HTTP y la mayoría de los demás ejecutan FTP, SSH, Telnet y otros servicios. Estos dispositivos pueden ser atacados por las vulnerabilidades CVE-2020-25928 y CVE-2021-31226, lo que hace que el dispositivo se controle de forma remota.
El investigador de seguridad también lanzó un script de detección de código abierto que puede ayudar a detectar si el sistema del dispositivo utiliza la pila de protocolos InterNiche y su información de versión.
A partir de ahora, HCC Embedded se está preparando para lanzar un parche de reparación. Sin embargo, antes de actualizar el firmware, es posible que los atacantes hayan comenzado a explotar la serie de vulnerabilidades "INFRA:HALT" para lanzar ataques. Por lo tanto, las empresas afectadas deben investigar y monitorear el uso de equipos y sistemas relevantes lo antes posible, prohibir que los equipos relevantes abran servicios de red comunes como HTTP, FTP, TELNET y SSH, o utilizar productos de seguridad de red como firewalls para filtrar datos relevantes. puertos.
Dingxiang garantiza la seguridad del control industrial
Dingxiang es una empresa de seguridad empresarial con tecnología de cálculo de riesgos a gran escala en tiempo real como núcleo, cuyo objetivo es ayudar a los clientes a construir sistemas de seguridad de riesgos independientes y controlables. Lograr un crecimiento empresarial sostenible. Como importante unidad de soporte técnico para CNNVD (Base de datos nacional de vulnerabilidades de seguridad de la información) y CICSVD (Base de datos nacional de vulnerabilidades de seguridad de la información industrial), Dingxiang es el patrocinador de la "Conferencia Nacional de Seguridad Industrial de Internet 2020" organizada por 12 departamentos, incluido el Ministerio de Industria y Tecnología de la Información, el Ministerio de Recursos Humanos y Seguridad Social y el Comité Central de la Liga Nacional Juvenil El formulador de preguntas y árbitro de la "Competencia de Habilidades Técnicas" y ganó el título honorífico de "Premio a la Contribución Destacada" otorgado por el organizador.
Basándose en años de investigación de tecnología de seguridad y experiencia práctica en ataques y defensa de seguridad empresarial, Dingxiang ha lanzado un conjunto completo de sistemas de protección inteligente de seguridad de control industrial, que incluyen minería de vulnerabilidades, descubrimiento de amenazas desconocidas, predicción de riesgos y percepción, engaño y captura de amenazas, y defensa de seguridad activa. Capacidad para proporcionar un sistema de seguridad que cubra todo el ciclo de vida para campos industriales como el petróleo y la petroquímica, la energía y la electricidad, el transporte ferroviario y la fabricación inteligente.
A través de la ejecución simbólica y el análisis de seguimiento de contaminación, combinados con la tecnología de inteligencia artificial única de Dingxiang, puede realizar la extracción de vulnerabilidades de archivos binarios de código fuente de arquitecturas convencionales como X86, X86_64, ARM, MIPS, etc., y puede localizar rápidamente, incluida la memoria fuera de límites, el desbordamiento y otros tipos de vulnerabilidades de seguridad. Y a través de un sistema de escaneo inteligente, no invasivo y sin pérdidas, de desarrollo propio que integra decenas de miles de complementos de escaneo, detecta y evalúa de manera integral la integridad, vulnerabilidad y seguridad del dispositivo para mejorar la seguridad, confiabilidad y estabilidad de el dispositivo.
Pruebas y evaluaciones integrales de vulnerabilidad y seguridad para mejorar la seguridad, confiabilidad y estabilidad de los equipos.