Imagen superior: Análisis técnico y valoración del impacto de la vulnerabilidad "INFRA:HALT"
El análisis muestra que la serie de vulnerabilidades "INFRA:HALT" afecta principalmente a todas las versiones anteriores a NicheStack 4.3, incluido NicheLite. La mayoría de las empresas de automatización industrial de todo el mundo utilizan la pila de protocolos TCP/IP de NicheStack y más de 200 fabricantes de equipos se ven afectados.
NicheStack, también conocido como InterNiche Stack, es un componente de pila de protocolos TCP/IP de código cerrado de terceros para sistemas integrados. Está diseñado para proporcionar acceso a Internet a equipos industriales, principalmente desplegados en equipos en plantas de fabricación, generación de energía, tratamiento de agua e infraestructura crítica. Incluye productos de Siemens, Emerson, Honeywell, Mitsubishi Electric, Rockwell Automation, Schneider Electric y otros, así como numerosos equipos de tecnología operativa (OT) en áreas de infraestructura críticas como fabricación, generación de energía y tratamiento de agua.
"INFRA:HALT" contiene 14 vulnerabilidades de seguridad.
La serie de vulnerabilidades "INFRA:HALT" incluye principalmente 14 vulnerabilidades, como ejecución remota de código, DoS, fuga de información y suplantación de TCP, que afectan a módulos como DNSv4, HTTP, TCP e ICMP. las puntuaciones de dos vulnerabilidades superan 9 .
CVE-2020-25928: Esta vulnerabilidad es una vulnerabilidad de seguridad causada por no verificar el campo de longitud de los datos de respuesta al analizar las respuestas DNS. Puede provocar OOB-R/W. Es una vulnerabilidad de ejecución remota de código. que afecta al módulo DNSv4, la puntuación CVSS es 9,8.
CVE- 2021-31226: Esta vulnerabilidad es una vulnerabilidad de desbordamiento del búfer de montón y no hay verificación de tamaño al analizar las solicitudes HTTP POST. Se trata de una vulnerabilidad de ejecución remota de código que afecta al módulo HTTP, con una puntuación CVSS de 9,1.
CVE-2020-25767: Esta vulnerabilidad se debe a que no se comprueba si el puntero de compresión está dentro del límite del paquete al analizar el nombre de dominio DNS, lo que puede provocar OOB-R y, en última instancia, DoS. ataques y fuga de información. La vulnerabilidad tiene una puntuación CVSS de 7,5 y afecta al módulo DNSv4.
CVE-2020-25927: Esta vulnerabilidad es un problema de seguridad causado por no verificar si el número de consulta o respuesta específico en el encabezado es consistente con el número de consulta o respuesta en el paquete DNS al analizar la respuesta DNS. Puede provocar un ataque DoS. La puntuación CVSS es 8,2.
CVE-2021-31227: Esta vulnerabilidad es una vulnerabilidad de desbordamiento del búfer causada por una comparación incorrecta de enteros de firma al analizar solicitudes HTTP POST, lo que puede provocar ataques DoS y afectar el módulo HTTP. La puntuación CVSS es 7,5.
CVE-2021-31400: Cuando el puntero final de los datos de emergencia fuera de banda apunta a datos fuera del paquete TCP, la función de procesamiento de datos de emergencia fuera de banda de TCP llamará a una función de pánico . Si la función de pánico no elimina la llamada de trampa, se activará un bucle infinito que eventualmente conducirá a un ataque DoS. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE-2021-31401: El código de procesamiento de encabezados TCP no maneja la longitud de IP (encabezado + datos). Si un atacante falsifica un paquete IP, puede provocar un desbordamiento de enteros porque la longitud de los datos IP se calcula restando la longitud del encabezado de la longitud de todos los paquetes IP. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE-2020-35683: El código que maneja paquetes ICMP se basa en el tamaño de la carga IP para calcular la suma de comprobación ICMP, pero el tamaño de la carga IP no está marcado. Cuando el valor establecido del tamaño de la carga útil IP es menor que el valor establecido del encabezado IP, la función de cálculo de la suma de comprobación ICMP puede leerse fuera de los límites, lo que resulta en un ataque DoS. Esta vulnerabilidad afecta al módulo ICMP y tiene una puntuación CVSS de 7,5.
CVE-2020-35684: El código que procesa paquetes TCP calcula la longitud de la carga útil TCP en función del tamaño de la carga útil IP. Cuando el valor establecido del tamaño de la carga útil IP es menor que el valor establecido del encabezado IP, la función de cálculo de la suma de comprobación ICMP puede leerse fuera de los límites, lo que resulta en un ataque DoS. Esta vulnerabilidad afecta al módulo TCP y tiene una puntuación CVSS de 7,5.
CVE-2020-3568: Esta vulnerabilidad se produce al generar ISN de TCP de forma predecible. Esta vulnerabilidad puede provocar una suplantación de TCP y afectar el módulo TCP, y tiene una puntuación CVSS de 7,5.
CVE-2021-27565: Cuando se recibe una solicitud HTTP desconocida, se activará el pánico. Esta vulnerabilidad puede provocar ataques DoS y afecta al módulo HTTP con una puntuación CVSS de 7,5.
CVE-2021-36762: El controlador de paquetes TFTP no puede garantizar si el nombre del archivo no es terminal, por lo que llamar a strlen() más tarde puede provocar un desbordamiento del búfer de paquetes de protocolo y ataques DoS. Esta vulnerabilidad afecta al módulo TFTP y tiene una puntuación CVSS de 7,5.
CVE-2020-25926: Esta vulnerabilidad se debe a que el cliente DNS no configura suficientes ID de transacciones aleatorias, lo que puede provocar ataques de envenenamiento de la caché de DNS. La vulnerabilidad afecta al módulo DNSv4 y tiene una puntuación CVSS de 4.
CVE-2021-31228: Un atacante puede predecir el puerto de origen de una consulta DNS, por lo que puede enviar un paquete de solicitud DNS falso para que el cliente DNS lo reciba como una respuesta válida a la solicitud, lo que puede desencadenar un ataque de envenenamiento de la caché de DNS. La vulnerabilidad afecta al módulo DNSv4 y tiene una puntuación CVSS de 4.
Fabricantes de control industrial afectados por la vulnerabilidad "INFRA:HALT"
A partir del análisis de toda la red de equipos de control industrial, se encontró que los países más afectados por el " La serie de vulnerabilidades INFRA:HALT" son Estados Unidos, Canadá, España y Suecia.
Productos afectados de Siemens:
Productos afectados de Honeywell: Aún no se han publicado los boletines de seguridad oficiales para esta serie de vulnerabilidades.
Schneider Electric aún no ha proporcionado parches para solucionar vulnerabilidades y se recomienda reducir el riesgo de posibles ataques de vulnerabilidad mediante medidas de seguridad como firewalls.
Productos afectados por Honeywell: aún no se han publicado los boletines de seguridad oficiales para esta serie de vulnerabilidades.
Productos afectados por Mitsubishi: aún no se han publicado los boletines de seguridad oficiales para esta serie de vulnerabilidades.
Explotación de la serie de vulnerabilidades INFRA:HALT
Según un documento técnico divulgado por investigadores de seguridad, existe un cierto grado de descripción técnica de la serie de vulnerabilidades "INFRA:HALT" , pero según esta serie, el programa de explotación y la POC de la vulnerabilidad no se han publicado.
El análisis muestra que los productos que utilizan componentes de pila de protocolos InterNiche son vulnerables a la serie de ataques de vulnerabilidad "INFRA:HALT", y los servicios afectados son principalmente HTTP, FTP, TELNET y SSH. Al consultar a Shodan, se descubrió que hay más de 6.400 dispositivos ejecutando la pila de protocolos NicheStack. Entre ellos, 6360 ejecutan servidores HTTP y la mayoría ejecuta FTP, SSH, Telnet y otros servicios. Estos dispositivos pueden ser vulnerables a las vulnerabilidades CVE-2020-25928 y CVE-2021-31226, lo que hace que el dispositivo se controle de forma remota.
Los investigadores de seguridad también publicaron un script de detección de código abierto que puede ayudar a detectar si el sistema del dispositivo utiliza la pila de protocolos InterNiche y su información de versión.
A partir de ahora, HCC Embedded está listo para publicar correcciones. Sin embargo, antes de actualizar el firmware, es posible que los atacantes hayan comenzado a explotar la familia de vulnerabilidades "INFRA:HALT". Por lo tanto, las empresas afectadas deben verificar y monitorear el uso de los equipos y sistemas relevantes lo antes posible, prohibir que los equipos relevantes abran servicios de red comunes como HTTP, FTP, TELNET y SSH, o utilizar productos de seguridad de red como firewalls para filtrar datos relevantes. puertos.
Top Image garantiza la seguridad industrial
Ding Image es una empresa de seguridad empresarial con tecnología de cálculo de riesgos a gran escala en tiempo real como núcleo, cuyo objetivo es ayudar a los clientes a crear una seguridad de riesgos independiente y controlable. Lograr un crecimiento empresarial sostenible.
Como importante unidad de soporte técnico para CNNVD (Base de datos nacional de vulnerabilidades de seguridad de la información) y CICSVD (Base de datos nacional de vulnerabilidades de seguridad de la información industrial), Zhuangyuan es la "Seguridad industrial nacional de Internet 2020" patrocinada por 12 departamentos, incluido el Ministerio de Industria y Tecnología de la Información, el Ministerio de Recursos Humanos y Seguridad Social y el Comité Central de la Liga Juvenil Comunista El proponente y árbitro del "Concurso de Habilidades Técnicas" y ganó el título honorífico de "Premio a la Contribución Destacada" otorgado por el organizador.
Basado en años de investigación de tecnología de seguridad y experiencia práctica en ataques y defensa de seguridad empresarial, Dingxiang ha lanzado un sistema de protección inteligente de seguridad industrial con minería de vulnerabilidades, descubrimiento de amenazas desconocidas, predicción y percepción de riesgos, engaño y captura de amenazas. Capacidades como la defensa de seguridad activa proporcionan un sistema de seguridad que cubre todo el ciclo de vida de campos industriales como el petróleo y los petroquímicos, la energía, el transporte ferroviario y la fabricación inteligente.
A través de la ejecución simbólica y el análisis de seguimiento de contaminación, combinados con la tecnología de inteligencia artificial única de Top Image, realiza la extracción de vulnerabilidades de archivos binarios de código abierto para arquitecturas convencionales como X86, X86_64, ARM, MIPS, etc., y puede Localice rápidamente desbordamientos de memoria, desbordamientos y diversas vulnerabilidades de seguridad. A través del sistema de escaneo inteligente no invasivo y no destructivo desarrollado independientemente que integra decenas de miles de complementos de escaneo, podemos detectar y evaluar de manera integral la integridad, vulnerabilidad y seguridad del equipo, y mejorar la seguridad, confiabilidad y estabilidad del equipo.
, vulnerabilidad y seguridad, y mejorar la seguridad, fiabilidad y estabilidad de los equipos.