金雅拓曝14个漏洞正在威胁工控系统安全

1月24日讯 卡巴斯基实验室的研究人员发现，荷兰SIM卡制造商金雅拓（Gemalto） 的软件授权解决方案 Sentinel LDK 中存在14个漏洞，从而使得大量工业系统和企业系统易遭遇远程攻击。

金雅拓Sentinel LDK
Sentinel LDK 是金雅拓公司推出的软件授权解决方案，可全方位解决软件许可生命周期中的各种问题，包括软件知识产权保护问题、防止非授权使用、产品功能组合打包、许可升级更新管理等，可切实提高软件安全性、许可管理透明度等诸多困扰软件开发商的难题。全球许多企业在企业和ICS网络中使用该解决方案。除了软件组件，Sentinel LDK 还提供基于软件的保护，尤其是 SafeNet Sentinel USB令牌（例如USB电子狗），可供用户连接到 PC 或服务器激活某款产品。

关于Sentinel 组件中的漏洞分析
研究人员发现，当 SafeNet Sentinel USB令牌连接到设备时，会安装必要的驱动（由Windows下载或由第三方软件提供），端口1947会被添加到 Windows 防火墙的例外列表中。当拔出 USB令牌后，这个端口仍处于开放状态，从而允许对系统进行远程访问。



专家共在 Sentinel 组件中发现14个漏洞，其中一些允许执行 DoS 攻击，任意代码执行以及捕获 NTLM 哈希等。由于端口1947 允许访问系统，导致远程攻击者可利用这些漏洞。部分漏洞列举：

CVE-2017-11496 - 远程执行代码

CVE-2017-11497 - 远程执行代码

CVE-2017-11498 - 拒绝服务

CVE-2017-12818 - 拒绝服务

CVE-2017-12819 - NTLM哈希捕获

CVE-2017-12820 - 拒绝服务

CVE-2017-12821 - 远程代码执行

CVE-2017-12822 - 使用配置文件进行远程操作

卡巴斯基公司的 ICS CERT 团队在执行渗透测试任务期间遇到该问题，于是决定对产品进行分析。恶意人员能够扫描端口1947 找到远程可访问的设备，或者对目标设备进行物理访问，从而连接 USB令牌（即使计算机被锁定），以此进行远程访问。

金雅拓这款产品还包含可供远程启用和禁用管理员接口和更改设置（包括获取语言包的代理设置）的 API。 更改代理就能允许攻击者获取用来运行许可软件进程的账户 NTLM 哈希。

除安装最新版本的 Sentinel 驱动外，若非常规操作必要，卡巴斯基建议用户关闭端口1947。

漏洞已修复，但未充分告知消费者
卡巴斯基实验室于2016年底和2017年初共发现了11个漏洞，其它3个漏洞于2017年6月被发现。金雅拓收到通知后已在版本 7.6 中修复了漏洞，但卡巴斯基对其处理方式表示并不满意。金雅拓2017年6月才解决第一批漏洞，并且金雅拓未充分告知消费者关于漏洞的风险。多名使用该解决方案的软件开发人员向卡巴斯基表示，他们并未意识到安全漏洞的存在，仍在使用易遭受攻击的版本。

主要影响北美及欧洲地区
卡巴斯基预测这款产品可能有数百万台，但目前尚不清楚确切的设备数量，根据 Forst & Sullivan 公司2011年发布的研究报告显示，SafeNet Sentinel 在北美许可控制解决方案市场的占比高达40%，欧洲市场占比为60%。

知名大型企业受影响
多家大型企业也使用这款软件，包括ABB、通用电气、惠普、西门子、Cadac Group 以及 Zemax。

不久前，美国ICS-CERT 和西门子警告称，因使用金雅拓软件，十几个SIMATIC WinCC 扩展版本受到三个高危漏洞影响。西门子表示，其中两个漏洞和语言包的处理方式有关，攻击者能够发起 DoS 和任意代码执行攻击。 西门子2015年及更早之前发布的 SIMATIC WinCC 扩展受漏洞影响。




示例脚本加载语言包文件

卡巴斯基 ICS-CERT 漏洞研究组负责人弗拉基米尔·丹什琴克表示，Sentinel LDK 应用广泛，其漏洞可能引发非常严重的后果，因为这些令牌不仅用于常规的企业环境中，还用于具有严格远程访问规则的关键设施中。后者可能会因此而轻易崩溃，将关键网络置于风险之中。