Лаборатория Касперского обнаружила уязвимости в SafeNet Sentinel

Лаборатория Касперского обнаружила уязвимости в SafeNet Sentinel

Эксперты Центра реагирования на киберинциденты «Лаборатории Касперского» – Kaspersky Lab ICS CERT – обнаружили 14 опасных уязвимостей и одну недокументированную возможность в программно-аппаратном комплексе SafeNet Sentinel, который широко используется во многих промышленных и критически важных IT-системах по всему миру. Эти бреши потенциально открывают удаленный доступ для злоумышленников и позволяют им скрывать свое присутствие. Количество пользователей систем, где были найдены уязвимости, может превысить миллион. «Лаборатория Касперского» сообщила компании-разработчику Gemalto о найденных уязвимостях, и производитель выпустил необходимые обновления.

В процессе исследования состояния информационной системы АСУ ТП, созданной одним из мировых лидеров, внимание экспертов «Лаборатории Касперского» привлек сервис hasplms.exe, который входит в состав SafeNet Sentinel и отвечает за проверку лицензионных ограничений использования ПО. Экспертам удалось получить удаленный доступ и коммуницировать с сервисом по открытому сетевому порту 1947. В итоге на устройстве с критически важным компонентом АСУ ТП оказалось возможным удаленно выполнить произвольный код от имени привилегированного пользователя системы, что ставило под угрозу непрерывность, доступность и целостность контролируемого технологического процесса. В общей сложности за год исследований эксперты Kaspersky Lab ICS CERT нашли в продукте Gemalto больше десятка брешей.  Все из них устранены разработчиком.

«Принято считать, что системы автоматизации технологических процессов – уникальные продукты, создаваемые их разработчиками независимо друг от друга с учётом потребностей разных отраслей и технологических процессов. Однако существует довольно много технологий, используемых одновременно различными производителями компонентов АСУ ТП. Так, продукт Gemalto встроен в решения других крупных разработчиков программного и аппаратного обеспечения. К сожалению, зачастую при выполнении проверок защищенности даже критически важных систем такие «встроенные» решения обходятся стороной, и в результате бреши остаются необнаруженными, – подчеркнул Владимир Дащенко, руководитель группы исследования уязвимостей систем промышленной автоматизации и Интернета вещей Kaspersky Lab ICS CERT. – Более того, закрытие критических уязвимостей в продуктах, которые используются, в частности, в системах управления технологическими процессами, не всегда проходит гладко – по разным причинам некоторые компании-разработчики не спешат оповещать своих пользователей об обнаруженной в их продукте проблеме. Однако это молчание, как показывает наша многолетняя практика, лишь дает дополнительные шансы злоумышленникам. Именно поэтому мы считаем, что информация о критических уязвимостях после их исправления должна транслироваться всем владельцам и операторам уязвимых систем».

Чтобы избежать возможных рисков и скрытых атак, эксперты Kaspersky Lab ICS CERT рекомендуют всем компаниям, использующим решение SafeNet Sentinel, срочно установить последнюю (безопасную) версию ПО (для получения инструкций по обновлению рекомендуем связаться с компанией Gemalto).  Чтобы убедиться, что данное обновление не приведет к потере работоспособности самого ПО, лицензионные ограничения на использование которого проверяются продуктом SafeNet Sentinel, также рекомендуем связаться с разработчиком этого ПО.

Для снижения риска эксплуатации уязвимостей специалисты Kaspersky Lab ICS CERT советуют по возможности закрыть порт 1947 (желательно на внешнем межсетевом и внутренних сетевых экранах), если это не приведет к дополнительным юридическим и бизнес-рискам.

Подробнее обо всех обнаруженных уязвимостях в решении SafeNet Sentinel компании Gemalto можно узнать из отчета «Лаборатории Касперского»: https://ics-cert.kaspersky.ru/reports/2018/01/22/a-silver-bullet-for-the....

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вирусописатели из FIN7 выдают своих зловредов за инструменты Check Point

Исследователи из BI.ZONE обнаружили новую версию вредоносного тулкита Lizar, который участники преступной группы FIN7 использовали в недавних атаках на территории США. Это орудие разведки и закрепления в Windows-сети злоумышленники пытаются замаскировать под легитимный инструмент для пентеста, используя имя Check Point или Forcepoint.

Криминальная группировка FIN7, также известная как Carbanak, объявилась в интернете больше пяти лет назад. По данным ФБР, эта ОПГ насчитывает более 70 участников, занимающихся целевыми взломами, разработкой вредоносных программ и рассылкой поддельных писем с вредоносными вложениями. От ее атак пострадали сотни организаций по всему миру, в том числе представители сферы финансов, ритейла и индустрии гостеприимства.

В своих атаках FIN7 зачастую использует набор инструментов Carbanak Backdoor/RAT, но в прошлом году в ее арсенале появился еще один похожий тулкит — Tirion, впоследствии переименованный в Lizar. Чтобы вызывать меньше подозрений, и тот, и другой злоумышленники пытаются выдать за инструментарий известной ИБ-компании.

 

В BI.ZONE проанализировали образец Lizar (версии 2.0.4, скомпилирован в конце января) и пришли к выводу, что по структуре он схож с Carbanak Backdoor и активно развивается. Новый набор вредоносных инструментов состоит Windows-клиента, серверного приложения (оба написаны на .NET), загрузчика плагинов и ряда плагинов, устанавливаемых на стороне клиента и сервера.

Взаимодействие этих компонентов исследователи схематично представили следующим образом:

 

Загрузчик плагинов и сами такие модули работают на зараженной машине (тело плагина передается с сервера вместе с командой) как составные части бота. Анализ показал, что Lizar-бот способен выполнить полтора десятка команд, в том числе:

  • предоставить информацию о зараженной системе;
  • сделать скриншот;
  • составить список запущенных процессов;
  • запустить Mimikatz;
  • запустить плагин, собирающий пароли из браузеров и в ОС;
  • запустить плагин для сбора информации о сети и Active Directory;
  • запустить Carbanak Backdoor.

Модульная архитектура Lizar позволяет злоумышленникам с легкостью добавлять плагины, а также облегчает доработку и тестирование отдельных компонентов. На настоящий момент эксперты обнаружили три вида Lizar-ботов: DLL, EXE и скриптовый вариант, исполняющий DLL в адресном пространстве процесса PowerShell.

Стоит отметить, что группировка FIN7 начала практиковать наём «белых хакеров» под видом компаний по кибербезопасности. Заместитель генерального директора — технический директор компании «Газинформсервис» Николай Нашивочников рассказал, может ли эта схема коснуться бизнес-структур в России:

«К сожалению, проблема становится актуальной и для нашей страны, так как с прошлого года мошенники начали активно нанимать российских пентестеров. Вероятно, когда американский рынок будет исчерпан, киберпреступники сосредоточат свои усилия на российских компаниях.

Не секрет, что многие IT-специалисты предпочитают заниматься "белым хакерством", так как сфера услуг информационной безопасности активно развивается, поэтому логично, что у кибермошенников образовался кадровый дефицит. Отсюда и новая схема с привлечением "сторонней помощи".

Американская практика показывает, что схема выстроена грамотно и нанятые сотрудники даже не подозревают, что работают на злоумышленников. Поэтому призываю всех наших IT-специалистов и особенно пентестеров быть очень внимательными при трудоустройстве, чтобы не стать участником киберпреступления.

Представителям бизнеса, решившим воспользоваться услугами "белых хакеров", тоже нужно быть начеку — лучше не экономить на проведении нормального пентеста, делая выбор в пользу проверенных компаний с многолетней безупречной репутацией».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru