INFRA:HALT уязвимость NicheStack TCP/IP Forescout АСУ ТП OT
В популярной TCP/IP-библиотеке NicheStack обнаружены 14 уязвимостей.
Специалисты Forescout Research Labs и JFrog Security Research обнаружили 14 новых уязвимостей в популярной TCP/IP-библиотеке NicheStack. Уязвимости, получившие название INFRA:HALT, позволяют вызывать отказ в обслуживании или удаленно выполнять произвольный код и атаковать операционные технологии (OT) и устройства АСУ ТП от более чем двухсот производителей.
Уязвимости затрагивают NicheStack – небольшую библиотеку на C от HCC Embedded, которую можно добавлять в прошивку устройств. Добавление библиотеки позволяет подключать устройства к интернету и поддерживать другие сетевые функции.
Подобные библиотеки, также известные как стек TCP/IP, часто используются практически во всех устройствах, однако аудит их кода на предмет уязвимостей проводится крайне редко. В связи с этим в 2019 году, после обнаружения уязвимостей URGENT/11 и Ripple20 в популярных стеках TCP/IP, команда Forescout запустила проект Memoria, в рамках которого ищет уязвимости в популярных современных стеках TCP/IP.
INFRA:HALT – уже третий набор уязвимостей после Amnesia:33 и NUMBER:JACK , обнаруженный в рамках проекта Memoria. С их помощью злоумышленники могут удаленно выполнять код, вызывать отказ в обслуживании и утечки информации, осуществлять спуфинг TCP или отравление кэша DNS. Уязвимости CVE-2020-25928 и CVE-2021-31226 позволяют атакующему удаленно захватить полный контроль над устройствами.
Для того чтобы проэксплуатировать уязвимости, у злоумышленника должен быть доступ к внутренней сети атакуемой организации, причем не только сети в офисе, но и к ее OT-сегменту, отделенному от остальной корпоративной сети, где установлено все промышленное оборудование.
Хотя большинство компаний обычно знают, как обеспечивать безопасность своих OT-сетей, это не значит, что некоторые из них умышленно или неумышленно не подключают свое оборудование к интернету. Так, на момент обнаружения уязвимостей INFRA:HALT в марте нынешнего года к интернету были подключены 6,4 тыс. OT-устройств.
К счастью для производителей устройств, HCC Embedded выпустила исправления для INFRA:HALT.
SECURITYLAB.RU
