众所周知,嵌入式设备,特别是那些为工业自动化设计的保质期较长的设备,使用的是内部和第三方的混合代码,而这些代码是在软件漏洞不像今天这样被充分了解的时候创建的。在硬件供应商多年来广泛使用的专有组件中发现的关键缺陷具有深远的影响。打补丁并不总是一种选择。
来自Forescout研究实验室和JFrog安全研究的研究人员在过去一年中的发现突出了这一点,他们调查了各种物联网和其他嵌入式系统中使用的TCP/IP堆栈。这导致在Ripple20、NAME:WRECK、NUMBER:JACK或AMNESIA:33等报告中发现影响数百万设备的重大缺陷。
他们的最新报告今天以INFRA:HALT的名义发布,涵盖了在一个名为NicheStack的专有TCP/IP堆栈中发现的14个关键和高风险漏洞,该堆栈广泛用于多达200家供应商的运营技术(OT)设备。这些设备包括可编程逻辑控制器(PLC),如西门子S7,它是工业自动化的组成部分,被用于关键基础设施领域。
TCP/IP堆栈具有巨大的攻击面
TCP/IP协议栈,或互联网协议套件,由常见的互联网协议的实现组成,包括DNS、HTTP、FTP、ARP和ICMP。它们使操作系统及其应用程序能够通过IP网络发送和接收数据。鉴于这些堆栈支持众多的协议,以及它们处理的数据和数据包格式的数量,它们暴露了一个重要的攻击面,往往可以在没有认证的情况下被利用。
工业控制设备传统上通过串行接口进行通信,但多年来,它们也越来越多地配备了以太网接口,并隐含了TCP/IP堆栈,因此它们可以与普通计算机和IT设备进行通信。许多现代物联网设备运行的是Linux,所以它们使用的是Linux TCP/IP协议栈,该协议栈在三十年来一直受到安全研究人员和Linux内核开发人员的严格审查。然而,工业控制设备往往运行专有的实时操作系统(RTOS),这些系统使用专有的TCP/IP堆栈,版本不一致,定制的修改和所有权的转移,所有这些都使识别脆弱的产品和最终的修补工作变得复杂。
NicheStack是一个TCP/IP协议栈,最初由一家名为InterNiche Technologies的公司在1996年或更早的时候开发,并在2003年被扩展到支持新的IPv6技术。2016年,InterNiche Technologies被另一家名为HCC Embedded的公司收购,该公司仍在维护该栈。
“在过去的二十年里,该堆栈被OEM厂商以几种’口味’分发,如意法半导体、飞思卡尔(恩智浦)、Altera(英特尔)和Microchip,用于几个(实时)操作系统或其自己的简单RTOS,称为NicheTask,”Forescout的研究人员在报告中说。”它还作为其他TCP/IP堆栈的基础,如SEGGER的emNet(以前的embOS/IP)。”
内存损坏
Forescout和JFrog研究人员发现的14个漏洞中,大部分是缓冲区溢出和越界内存读写,这些漏洞是通过不同协议不安全地解析数据包而产生的。这些可以通过DNSv4、HTTP、TCP、ICMP或TFTP被利用,并可能导致远程代码执行(两个漏洞)和拒绝服务条件(八个漏洞)。
其他缺陷源于可预测的TCP ISN,不够随机的DNS事务ID和可预测的DNS查询源端口号,使TCP欺骗或DNS缓存中毒等攻击成为可能。所有的漏洞都影响到4.3版之前的所有NicheStack版本,4.3版是进行研究时的最新版本。
两个远程代码执行漏洞位于DNSv4和HTTP实现中,在CVSS等级中分别被评为9.8和9.1,这意味着它们是关键的。拒绝服务(DoS)问题被评为7.5或8.2的严重性分数。然而,值得注意的是,在工业控制系统的背景下,DoS问题的潜在影响可能很严重,这取决于受影响设备所控制的工业流程的类型。
例如,为了从利用这些漏洞的攻击中恢复,包括DoS,受影响的设备必须被打开和关闭。Forescout的研究副总裁Elisa Costante告诉CSO,这意味着对它们有物理访问。”这实际上使它具有相当大的影响。想象一下,如果该设备在海上用于变电站或石油开采”。
漏洞协调的地狱
披露INFRA:HALT漏洞的协调工作几乎持续了一年,比软件漏洞标准的90天要长很多。Forescout和JFrog安全研究公司在2020年9月与HCC嵌入式公司就这些漏洞进行了联系,并与CERT协调中心(CERT/CC)、德国联邦网络安全局(BSI)以及作为美国政府网络安全和基础设施安全局(CISA)一部分的工业控制系统网络应急响应小组(ICS-CERT)合作。
即便如此,确定可能受影响的设备和供应商已经非常困难,而且是一个持续的过程。使用SHODAN搜索引擎的查询,研究人员发现大约有6400台可公开访问的设备运行NicheStack。Forescout使用其拥有数百万设备指纹的专有数据库,确定了来自21个供应商的2500个潜在的易受攻击设备,受影响最大的行业垂直领域是加工制造、零售和离散制造。大约一半被识别的设备是能源和电力工业控制系统。
不过,这远远不是这些缺陷的实际影响。据研究人员说,InterNiche的一个不再在线的遗留网站列出了近200家设备供应商的客户,包括西门子、艾默生、霍尼韦尔、三菱电机、罗克韦尔自动化和施耐德电气等主要OT供应商。
只有少数供应商会发布公开的建议,但预测受影响的设备的实际数量可能是数以百万计的,Costante说。”我认为这项研究影响了有史以来最大的各种ICS供应商[……]但实际上没有多少OT设备暴露在公众面前,所以我们要获得这些信息就比较困难了。”
Forescout在GitHub上维护了一个受其对TCP/IP堆栈的研究影响的供应商的建议列表,这个列表将随着INFRA:HALT相关的新建议的出现而被更新。
缓解措施需要可见度
HCC Embedded已经为这些漏洞开发了补丁,但这些补丁只有在客户要求的情况下才会提供,这些客户大多是设备制造商。受影响产品的最终用户必须等待他们各自设备制造商的补丁。
这个问题变得更加复杂,因为不太可能所有的供应商,特别是小的供应商,多年来将这个TCP/IP协议栈集成到他们的产品中,仍然与HCC Embedded有有效合同。另外,一些受影响的设备可能已经达到了支持期限,可能永远不会得到补丁。
“另一个问题是,对于资产所有者来说,即使有补丁,他们是否知道他们有那些[受影响的]设备?” Costante说。”有时他们没有所有设备的完整清单,所以即使评估风险也可能不是那么直接。”
Forescot已经开发了一个开源脚本,资产所有者可以在他们的网络上使用,以发现运行NicheStack或其他TCP/IP协议栈的设备,该公司过去在这些设备中发现了漏洞,作为其被称为Project Memoria的大型研究的一部分。该公司还更新了自己的商业产品,以发现受影响的设备并检测利用企图。
补丁部署的另一个问题是,一些受影响的设备可能控制着工厂和工业设施中的关键或永远在线的流程,或者部署在偏远地区的现场,因此在没有计划维护的情况下,它们不能立即关闭和更新。”Costante说:”对大多数供应商来说,缓解措施将比打补丁更有效,特别是那些小的供应商。
Forescout为INFRA:HALT漏洞提供了以下缓解建议。
执行分段控制和适当的网络卫生,以减轻来自易受攻击设备的风险。限制外部通信路径,将易受攻击的设备隔离或控制在区域内,作为一种缓解措施,如果它们不能被修补或直到它们能够被修补。
监测受影响的设备供应商发布的渐进式补丁,并为你的脆弱资产库存设计一个补救计划,平衡商业风险和业务连续性要求。
监控所有的网络流量,以发现试图利用已知漏洞或可能的零日的恶意数据包。异常的和畸形的流量应该被阻止,或者至少向网络运营商提醒其存在。
如果不需要,禁用DNSv4客户端,或阻止DNSv4流量。因为有几个漏洞有利于DNS欺骗攻击,使用内部DNS服务器可能是不够的(攻击者可能会劫持请求-响应匹配)。
如果不需要,禁用HTTP,或将HTTP连接列入白名单。
监测IPv4/TCP和ICPMv4数据包的畸形流量,并阻止它们。
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/safety/202108041354.html