Ahora León / Ciberseguridad / Kaspersky Lab
Los analistas de Kaspersky Lab ICS CERT han descubierto un gran número vulnerabilidades graves en el sistema de administración de licencias Hardware Against Software Piracy (HASP), utilizado ampliamente en compañías y sistemas de control industrial (ICS) para la activación de licencias de software. El número de sistemas afectados por esta tecnología vulnerable puede llegar a superar los cientos de miles en todo el mundo.
Los token USB se utilizan normalmente en las organizaciones para la activación de las licencias de software. En un escenario normal, el administrador del sistema de la empresa sólo tiene que acercarse al ordenador en el que se necesita el programa y activarlo introduciendo el token USB. A continuación, se confirma que el software es legítimo (no ha sido hackeado) y se activa, permitiendo al usuario del PC o del servidor empezar a utilizarlo.
Cuando por primera vez se conecta el token al PC o al servidor, el sistema operativo Windows descarga el controlador del programa desde los servidores del proveedor, haciendo que el token pueda funcionar correctamente con el hardware del ordenador. En otros casos, el controlador viene ya instalado con un software de terceros que utiliza el sistema antes mencionado para proteger la licencia. Nuestros analistas han descubierto que, en el momento de la instalación, este software agrega el puerto 1947 del ordenador a la lista de exclusiones de Windows Firewall, sin notificarlo previamente al usuario, abriendo la puerta a un ataque remoto.
El ciberdelincuente solo necesita escanear la red objetivo para abrir el puerto 1947, identificando cualquier ordenador que esté disponible remotamente.
Pero lo que es más importante, el puerto permanece abierto después de que el token se haya desconectado. Incluso en un entorno corporativo protegido y parcheado, el ciberdelincuente sólo necesitará que se instale un software utilizando la solución HASP o enchufar el token a un PC una única vez (incluso uno que este bloqueado), para que ya pueda ser objetivo de un ataque remoto.
Los analistas han identificado 14 vulnerabilidades diferentes en un componente de la solución de software, incluyendo múltiples vulnerabilidades DoS y varias RCE (ejecución remota de código arbitrario) que, por ejemplo, se pueden aprovechar sin necesidad de disponer de derechos de usuario sino que es suficiente con los derechos del sistema de privilegios, proporcionando a los ciberdelincuentes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden llegar a ser potencialmente muy peligrosas y causar grandes pérdidas a las empresas.
Esta información se ha comunicado al fabricante. Todas las vulnerabilidades descubiertas han recibido los siguientes números CVE:
- CVE-2017-11496 – Remote Code Execution
- CVE-2017-11497 – Remote Code Execution
- CVE-2017-11498 – Denial of Service
- CVE-2017-12818 – Denial of Service
- CVE-2017-12819 – NTLM hash capturing
- CVE-2017-12820 – Denial of Service
- CVE-2017-12821 – Remote Code Execution
- CVE-2017- 12822 – Remote manipulations with configuration files
«Teniendo en cuenta lo extendido del uso de este sistema de gestión de licencias, las consecuencias pueden ser enormes, ya que estos tokens se utilizan no solo en entornos corporativos comunes, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Esta protección puede inutilizarse fácilmente con la ayuda del problema que descubrimos y que está poniendo en peligro las redes críticas», dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidad, Kaspersky Lab ICS CERT.
Tras el descubrimiento, Kaspersky Lab notificó estas vulnerabilidades a los proveedores de software afectados y todas las empresas afectadas lanzaron los parches de seguridad adecuados.
Kaspersky Lab ICS CERT recomienda a los usuarios de los productos afectados que hagan lo siguiente:
- Instalar la última versión (segura) de los drivers tan pronto como sea posible, o contactar al fabricante para recibir instrucciones sobre cómo se debe proceder.
- Cerrar el puerto 1947, o al menos en firewall externo (en el perímetro de la red), pero solo si no interfiere con los procesos de negocio.
, utilizado ampliamente en compañías y sistemas de control industrial (ICS) para la activación de licencias de software.){kind=link}