Các nhà nghiên cứu an ninh mạng hôm thứ Tư đã tiết lộ 14 lỗ hổng ảnh hưởng đến ngăn xếp TCP / IP thường được sử dụng trong hàng triệu thiết bị Công nghệ hoạt động (OT) được sản xuất bởi không dưới 200 nhà cung cấp và được triển khai trong các nhà máy sản xuất, phát điện, xử lý nước và các lĩnh vực cơ sở hạ tầng quan trọng.
Những thiếu sót, được gọi chung là “INFRA: HALT,” nhắm mục tiêu vào NicheStack, có khả năng cho phép kẻ tấn công thực hiện mã từ xa, từ chối dịch vụ, rò rỉ thông tin, giả mạo TCP và thậm chí là nhiễm độc bộ nhớ cache DNS.
NicheStack (hay còn gọi là InterNiche stack) là một ngăn xếp TCP / IP nguồn đóng cho các hệ thống nhúng được thiết kế để cung cấp thiết bị công nghiệp kết nối internet và được kết hợp bởi các nhà cung cấp tự động hóa công nghiệp lớn như Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation, và Schneider Electric trong bộ điều khiển logic có thể lập trình (PLC) và các sản phẩm khác của họ.
Các nhà nghiên cứu từ JFrog và Forescout cho biết trong một báo cáo chung được công bố ngày hôm nay. “Các cuộc tấn công thành công có thể dẫn đến việc đưa các thiết bị OT và ICS vào ngoại tuyến và bị tấn công logic của chúng. Các thiết bị bị tấn công có thể phát tán phần mềm độc hại đến nơi chúng giao tiếp trên mạng.”
Tất cả các phiên bản của NicheStack trước phiên bản 4.3 đều dễ bị tấn công bởi INFRA: HALT, với khoảng 6.400 thiết bị OT tiếp xúc trực tuyến và kết nối với internet tính đến tháng 3 năm 2021, hầu hết trong số đó được đặt ở Canada, Mỹ, Tây Ban Nha, Thụy Điển và Ý.
Danh sách 14 lỗi như sau:
- CVE-2020-25928 (điểm CVSS: 9,8) – Đọc / ghi vượt quá giới hạn khi phân tích cú pháp các phản hồi DNS, dẫn đến thực thi mã từ xa
- CVE-2021-31226 (Điểm CVSS: 9,1) – Lỗi tràn bộ đệm heap khi phân tích cú pháp các yêu cầu bài đăng HTTP, dẫn đến thực thi mã từ xa
- CVE-2020-25927 (Điểm CVSS: 8,2) – Đọc ngoài giới hạn khi phân tích cú pháp các phản hồi DNS, dẫn đến từ chối dịch vụ
- CVE-2020-25767 (điểm CVSS: 7,5) – Đọc ngoài giới hạn khi phân tích cú pháp tên miền DNS, dẫn đến từ chối dịch vụ và tiết lộ thông tin
- CVE-2021-31227 (Điểm CVSS: 7,5) – Lỗi tràn bộ đệm heap khi phân tích cú pháp các yêu cầu bài đăng HTTP, dẫn đến từ chối dịch vụ
- CVE-2021-31400 (Điểm CVSS: 7,5) – Một kịch bản vòng lặp vô hạn trong chức năng xử lý dữ liệu khẩn cấp ngoài băng tần của TCP, gây ra từ chối dịch vụ
- CVE-2021-31401 (Điểm CVSS: 7,5) – Lỗi tràn số nguyên trong mã xử lý tiêu đề TCP
- CVE-2020-35683 (điểm CVSS: 7,5) – Đọc ngoài giới hạn khi phân tích cú pháp các gói ICMP, dẫn đến từ chối dịch vụ
- CVE-2020-35684 (Điểm CVSS: 7,5) – Đọc ngoài giới hạn khi phân tích cú pháp các gói TCP, dẫn đến từ chối dịch vụ
- CVE-2020-35685 (Điểm CVSS: 7,5) – Số thứ tự ban đầu có thể đoán trước (ISN) trong kết nối TCP, dẫn đến Giả mạo TCP
- CVE-2021-27565 (điểm CVSS: 7,5) – Điều kiện từ chối dịch vụ khi nhận được một yêu cầu HTTP không xác định
- CVE-2021-36762 (điểm CVSS: 7,5) – Đọc ngoài giới hạn trong chức năng xử lý gói TFTP, dẫn đến từ chối dịch vụ
- CVE-2020-25926 (Điểm CVSS: 4.0) – Máy khách DNS không đặt đủ ID giao dịch ngẫu nhiên, gây ra nhiễm độc bộ nhớ cache
- CVE-2021-31228 (Điểm CVSS: 4,0) – Cổng nguồn của các truy vấn DNS có thể được dự đoán để gửi các gói phản hồi DNS giả mạo, gây ra nhiễm độc bộ nhớ cache
Các tiết lộ đánh dấu lần thứ sáu các điểm yếu bảo mật được xác định trong các ngăn xếp giao thức làm nền tảng cho hàng triệu thiết bị được kết nối internet. Đây cũng là tập hợp lỗi thứ tư được phát hiện trong khuôn khổ một nghiên cứu có hệ thống có tên là Project Memoria nhằm nghiên cứu tính bảo mật của các ngăn xếp TCP / IP được sử dụng rộng rãi được các nhà cung cấp khác nhau tích hợp trong phần sụn của họ để cung cấp các tính năng kết nối mạng và internet –
HCC Embedded, duy trì thư viện C, có phát hành các bản vá phần mềm để giải quyết các vấn đề. Các nhà nghiên cứu cho biết: “Bảo vệ hoàn toàn chống lại INFRA: HALT yêu cầu vá các thiết bị dễ bị tấn công nhưng gặp nhiều thách thức do hậu cần của chuỗi cung ứng và bản chất quan trọng của các thiết bị OT”.
Để giảm nhẹ, Forescout đã phát hành một tập lệnh mã nguồn mở sử dụng tính năng lấy dấu vân tay đang hoạt động để phát hiện các thiết bị đang chạy NicheStack. Bạn cũng nên thực thi các biện pháp kiểm soát phân đoạn, giám sát tất cả lưu lượng mạng để tìm các gói dữ liệu độc hại nhằm giảm thiểu rủi ro từ các thiết bị dễ bị tấn công.
