Popüler lisans yönetimi kimlik doğrulama cihazı, saldırganlar için gizli bir uzaktan erişim kanalı açıyor.
Kaspersky Lab ICS CERT araştırmacıları, lisanslı yazılımları etkinleştirmek için kurumlarda ve endüstriyel kontrol sistemlerinde sıkça kullanılan Hardware Against Software Piracy (HASP) lisans yönetim sisteminde çok sayıda ciddi açık buldu. Açıktan etkilenen sistem sayısı tüm dünyada yüz binlere ve hatta daha fazlasına ulaşabilir.
USB lisans doğrulama cihazları, yazılım lisanslarını kolaylıkla etkinleştirmek için birçok farklı kurumda sıkça kullanılıyor. Normal kullanım senaryosunda, bir şirketin sistem yöneticisinin etkinleştirilmesi gereken yazılımın bulunduğu bilgisayara cihazı takması gerekiyor. Cihaz, yasal olduğunu (korsan olmadığı) onayladıktan sonra yazılımı etkinleştiriyor. Böylece o bilgisayarı veya sunucuyu kullanan kişi yazılımı da kullanabiliyor.
Lisans doğrulama cihazı bir bilgisayara veya sunucuya ilk kez takıldığında, Windows işletim sistemi yazılım markasının sunucularından sürücüyü indirerek, cihaz donanımının bilgisayar donanımıyla uyumlu çalışmasını sağlıyor. Diğer durumlarda ise sürücü, lisans koruması için bu sistemi kullanan üçüncü taraf yazılımıyla birlikte kuruluyor. Uzmanlar, bu yazılımın, kurulum sonrasında bilgisayardaki 1947 portunu kullanıcıya gerekli bilgi vermeden Windows Güvenlik Duvarı'nın dışında bıraktığını ve böylece uzaktan bir saldırıya açık hale getirdiğini keşfetti. Saldırganlar bu sayede uzaktan erişebilecekleri bilgisayarları, hedef aldıkları ağdaki açık 1947 portunu tarayarak belirleyebiliyorlar.
Daha da önemlisi, doğrulama cihazı çıkarıldıktan sonra da port açık kalmaya devam ediyor. Saldırganlar, güncellemeleri yapılmış ve koruma altındaki bir kurumsal ortamı bile yalnızca HASP çözümünü kullanıp, bir yazılım yükleyerek veya bir bilgisayara (kilitli olsa bile) doğrulama cihazı takarak saldırılara açık hale getirebiliyorlar.
Araştırmacılar, yazılım çözümünün bir bileşeninde 14 adet açık belirledi. Bunların arasında kullanıcı haklarıyla değil otomatik olarak en yetkili sistem haklarıyla kullanılabilen birden çok DoS açığı ve çok sayıda RCE (istenilen kodların uzaktan çalıştırılması) yer alıyor. Böylece saldırganlar istedikleri kodları çalıştırma fırsatı elde ediyorlar. Çok tehlikeli olan bu açıkların tümü kurumlar için büyük zararlara neden olma potansiyeline sahip.
Elde edilen tüm bilgiler yazılım markasına iletildi. Saptanan tüm açıklar şu CVE numaralarını aldı:
- CVE-2017-11496 – Remote Code Execution
- CVE-2017-11497 – Remote Code Execution
- CVE-2017-11498 – Denial of Service
- CVE-2017-12818 – Denial of Service
- CVE-2017-12819 – NTLM hash capturing
- CVE-2017-12820 – Denial of Service
- CVE-2017-12821 – Remote Code Execution
- CVE-2017- 12822 – Remote manipulations with configuration files
Kaspersky Lab ICS CERT Açık Araştırma Grubu Lideri Vladimir Dashchenko, "Bu lisans yönetim sisteminin ne kadar yaygın kullanıldığı düşünüldüğünde, ortaya çıkabilecek sonuçların ölçeğinin de çok geniş olduğu görülüyor. Bu doğrulama cihazları yalnızca kurumlarda değil sıkı uzaktan erişim kurallarına sahip kritik tesislerde de kullanılıyor. Keşfettiğimiz sorun ile bu sıkı erişim kuralları çok kolay bir şekilde kırılabilir ve kritik önem taşıyan ağlar tehlike altında kalabilir" dedi.
Kaspersky Lab keşfettiği açıkları ilgili yazılım markalarına iletti ve bu şirketler de güvenlik yamaları yayınladı.
Kaspersky Lab ICS CERT, bu sorundan etkilenen ürünleri kullananlara şunları öneriyor:
- Mümkün olan en kısa zamanda sürücünün en son (güvenli) sürümünü yükleyinveya sürücüyü güncellemek için marka ile iletişime geçin.
- İş süreçlerine engel olmadığı takdirde, en azıdan dış güvenlik duvarında (ağ sınırında) 1947 portunu kapatın.
Bu açıklar hakkında daha fazla bilgi edinmek için Kaspersky Lab ICS CERT web sitesindeki blog yazısını okuyabilirsiniz.
Kaspersky Lab ICS CERT Hakkında
Kaspersky Lab Endüstriyel Kontrol Sistemleri Siber Acil Müdahale Ekibi (Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team - Kaspersky Lab ICS CERT), Kaspersky Lab tarafından, endüstriyel kurumları siber saldırılardan korumak amacıyla otomasyon sistemi markaları, BT güvenliği araştırmacıları, endüstriyel tesis sahipleri ve operatörlerinin çalışmalarını koordine etmek için 2016'da başlatılan global bir projedir. Kaspersky Lab ICS CERT çalışmalarında endüstriyel otomasyon sistemlerini ve Endüstriyel Nesnelerin İnterneti'ni hedef alan potansiyel ve mevcut tehditleri belirlemeye öncelik verir. Çalışmalarının ilk yılında ekip, önde gelen global endüstriyel kontrol sistemi markalarının ürünlerinde 110'dan fazla kritik açık tespit etti. Kaspersky Lab ICS CERT, endüstriyel kurumların siber tehditlere karşı korunmasına yönelik tavsiyeler veren, önde gelen uluslararası kuruluşların aktif bir üyesi ve ortağıdır.
Kaspersky Lab Hakkında
Kaspersky Lab, 2017 yılında 20. yılını kutlayan küresel bir siber güvenlik şirketidir. Kaspersky Lab'in derin tehdit zekâsı ve güvenlik uzmanlığı dünyanın dört bir yanındaki işletmelerin, kritik altyapıların, hükümetlerin ve tüketicilerin korunması için sürekli yeni nesil güvenlik çözümlerine ve hizmetlerine dönüşmektedir. Şirketin kapsamlı güvenlik portföyüne, lider uç nokta koruması ve gelişen karmaşık dijital tehditlerle mücadele eden bir dizi özelleştirilmiş güvenlik çözümleri de dâhildir. 400 milyonu aşkın kullanıcı Kaspersky Lab teknolojileri ile korunmaktadır ve 270 bin kurumsal müşterinin kendileri için en önemli şeyleri korumalarına yardımcı olmaktayız. Daha fazla bilgi için: www.kaspersky.com/tr
