У середу дослідники кібербезпеки розкрили 14 вразливостей, які зачіпають широко використовуваний стек TCP/IP, який використовується в мільйонах пристроїв Operational Technology (OT), виготовлених не менше ніж 200 постачальниками і розгорнутих на виробничих підприємствах, в електроенергетиці, водоочищенні і в найважливіших секторах інфраструктури.

Недоліки, які отримали загальну назву «INFRA: HALT», націлені на NicheStack, потенційно дозволяють зловмисникові виконати віддалене виконання коду, спричинити відмову в обслуговуванні, витік інформації, підробку TCP і навіть підміну DNS.

NicheStack (також відомий як стек InterNiche) – це стек TCP / IP з закритим вихідним кодом для вбудованих систем, який призначений для забезпечення підключення до Інтернету промислового обладнання і використовується великими постачальниками промислової автоматизації, такими як Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation і Schneider Electric в своїх та інших продуктах.

«Зловмисники можуть порушити роботу системи опалення, вентиляції та кондиціонування повітря в приміщенні або захопити контролери, які використовуються у виробництві і іншій критично важливій інфраструктурі», – заявили дослідники з JFrog і Forescout в опублікованому спільному звіті. «Успішні атаки можуть привести до відключення пристроїв OT і ICS. Захоплені пристрої можуть поширювати шкідливе ПЗ там, де вони обмінюються даними в мережі».

Всі версії NicheStack до версії 4.3 уразливі для INFRA: HALT, і за станом на березень 2021 року близько 6400 OT-пристроїв були доступні онлайн і підключені до Інтернету, більшість з яких розташовані в Канаді, США, Іспанії, Швеції та Італії.

Список 14 вразливостей виглядає наступним чином:

  1. CVE-2020-25928 (оцінка CVSS: 9,8) – читання / запис за межами діапазону при синтаксичному аналізі відповідей DNS, що приводить до віддаленого виконання коду.
  2. CVE-2021-31226 (оцінка по CVSS: 9,1) – помилка переповнення буфера при синтаксичному аналізі HTTP-запитів, що призводить до віддаленого виконання коду.
  3. CVE-2020-25927 (оцінка CVSS: 8,2) – читання за межами діапазону при синтаксичному аналізі відповідей DNS, що приводить до відмови в обслуговуванні.
  4. CVE-2020-25767 (оцінка по CVSS: 7,5) – читання за межами діапазону при синтаксичному аналізі доменних імен DNS, що приводить до відмови в обслуговуванні і розкриття інформації.
  5. CVE-2021-31227 (оцінка по CVSS: 7,5) – помилка переповнення буфера при аналізі HTTP-запитів, що призводить до відмови в обслуговуванні.
  6. CVE-2021-31400 (оцінка по CVSS: 7,5) – сценарій з нескінченним циклом в функції внеполосної обробки термінових даних TCP, що викликає відмову в обслуговуванні.
  7. CVE-2021-31401 (оцінка по CVSS: 7,5) – недолік в коді обробки заголовка TCP.
  8. CVE-2020-35683 (оцінка CVSS: 7,5) – читання за межами діапазону при синтаксичному аналізі пакетів ICMP, що приводить до відмови в обслуговуванні.
  9. CVE-2020-35684 (оцінка CVSS: 7,5) – читання за межами діапазону при синтаксичному аналізі пакетів TCP, що приводить до відмови в обслуговуванні.
  10. CVE-2020-35685 (оцінка CVSS: 7,5) – передбачувані початкові порядкові номери (ISN) в TCP, що призводять до спуфінга TCP.
  11. CVE-2021-27565 (оцінка по CVSS: 7,5) – стан відмови в обслуговуванні при отриманні невідомого HTTP-запиту.
  12. CVE-2021-36762 (оцінка по CVSS: 7,5) – читання за межами допустимого діапазону в функції обробки пакетів TFTP, що приводить до відмови в обслуговуванні.
  13. CVE-2020-25926 (оцінка CVSS: 4,0) – DNS-клієнт не встановлює досить випадкові ідентифікатори транзакцій, що призводить до підміни DNS.
  14. CVE-2021-31228 (оцінка CVSS: 4,0) – можна прогнозувати, що порт джерела DNS-запитів відправляє підроблені пакети відповідей DNS, викликаючи підміну DNS.

Розкриття інформації знаменує собою шостий раз, коли вразливості безпеки були виявлені в стеках протоколів, які лежать в основі мільйонів підключених до Інтернету пристроїв. Це також четвертий набір помилок, який повинен бути виявлений в рамках систематичного дослідження під назвою Project Memoria для вивчення безпеки широко використовуваних стеків TCP / IP, які включені різними постачальниками в свої прошивки, щоб пропонувати функції підключення до Інтернету і мережі:

  • URGENT / 11
  • Ripple20
  • AMNESIA: 33
  • NUMBER: JACK
  • NAME: WRECK

HCC Embedded, яка підтримує бібліотеку C, випустила програмні патчі для вирішення цих проблем. «Повний захист від INFRA: HALT вимагає виправлення вразливих пристроїв, але це складно через логістику ланцюжка поставок і критичного характеру пристроїв OT», – заявили дослідники.

Як запобіжний захист Forescout випустив сценарій з відкритим вихідним кодом, який використовує активну ідентифікацію відбитків пальців для виявлення пристроїв, на яких працює NicheStack. Також рекомендується посилити контроль сегментації, контролювати весь мережевий трафік на предмет шкідливих пакетів, щоб знизити ризик від вразливих пристроїв.