又見(jiàn)供應(yīng)鏈威脅:漏洞“INFRA:HALT ”影響數(shù)百家供應(yīng)商的OT設(shè)備
2021年8月4日,JFrog和Forescout的研究人員發(fā)布了一份聯(lián)合報(bào)告,公開(kāi)披露了在NicheStack TCP/IP堆棧中發(fā)現(xiàn)的14個(gè)安全漏洞。
Forescout和JFrog Security研究人員在NicheStack中發(fā)現(xiàn)的14個(gè)漏洞被統(tǒng)稱為“INFRA:HALT”,允許遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)、信息泄漏、TCP 欺騙和DNS緩存中毒。
Forescout指出,其他主要的OT設(shè)備供應(yīng)商,如Emerson、霍尼韋爾(Honeywell)、三菱電機(jī)、羅克韋爾自動(dòng)化和施耐德電氣,都是堆棧的原始開(kāi)發(fā)商InterNiche的客戶。由于這種漏洞存在于OT環(huán)境,所以受影響最大的垂直行業(yè)是制造業(yè)。
INFRA:NicheStack中的HALT漏洞
在過(guò)去的兩年里,來(lái)自多家公司的研究人員親自探索物聯(lián)網(wǎng)、OT和嵌入式設(shè)備/系統(tǒng)中使用的各種TCP/IP堆棧的安全性,并記錄了他們的發(fā)現(xiàn)。
NicheStack TCP/IP堆棧由InterNiche Technologies于1996年開(kāi)發(fā)。自問(wèn)世以來(lái),它已被各種原始設(shè)備制造商(OEM)以多種“風(fēng)格”分發(fā),并作為其他TCP/IP堆棧的基礎(chǔ)。其被廣泛部署于各種操作技術(shù)(OT)設(shè)備中,例如非常流行的Siemens S7 PLC。
關(guān)于此次被發(fā)現(xiàn)的漏洞,研究人員解釋稱,
“如果這些漏洞被利用,不法分子就可以控制用于控制照明、電力、安全和消防系統(tǒng)的樓宇自動(dòng)化設(shè)備,以及用于運(yùn)行裝配線、機(jī)器和機(jī)器人設(shè)備的可編程邏輯控制器(PLC)。這可能會(huì)嚴(yán)重破壞工業(yè)運(yùn)營(yíng),并進(jìn)一步為攻擊者提供對(duì)物聯(lián)網(wǎng)設(shè)備的訪問(wèn)權(quán)限。一旦訪問(wèn)實(shí)現(xiàn),堆棧就會(huì)成為在IT網(wǎng)絡(luò)中傳播感染性惡意軟件的脆弱入口點(diǎn)。”
補(bǔ)救和緩解建議
目前,HCC Embedded公司已經(jīng)為受影響的NicheStack 版本(即NicheStack v4.3之前的所有版本)發(fā)布了相關(guān)補(bǔ)丁。建議相關(guān)供應(yīng)商(涉及嵌入式網(wǎng)絡(luò))及時(shí)升級(jí)更新,并向客戶提供自己的更新。
目前尚不清楚有多少設(shè)備在使用易受攻擊的堆棧版本,但根據(jù)相關(guān)數(shù)據(jù)顯示,該堆棧已被近 200 家設(shè)備供應(yīng)商使用,其中包括世界上大多數(shù)頂級(jí)工業(yè)自動(dòng)化公司。
此外,F(xiàn)orescout也提供了一個(gè)開(kāi)源腳本,企業(yè)管理員可以使用它來(lái)檢測(cè)運(yùn)行 NicheStack(和其他易受攻擊的 TCP/IP 堆棧)的設(shè)備。
除了實(shí)施補(bǔ)丁外,安全專家還敦促管理員使用網(wǎng)絡(luò)分段來(lái)降低易受攻擊設(shè)備的風(fēng)險(xiǎn),并監(jiān)控所有網(wǎng)絡(luò)流量中是否存在試圖利用已知漏洞或零日漏洞的惡意數(shù)據(jù)包。
