Kaspersky a descoperit vulnerabilități în sistemul de management al licențelor HASP care folosește token-uri USB

- Adrian Ungureanu
398

Cercetătorii Kaspersky Lab au anunța că au descoperit mai multe vulnerabilități importante în sistemul de management al licențelor Hardware Against Software Piracy (HASP), folosit pe scară largă în companii pentru activarea software-ului licențiat.

Potrivit unui comunicat al companiei remis redacției, este posibil ca numărul de sisteme afectate de această tehnologie vulnerabilă să depășească ordinul sutelor de mii, la nivel mondial.

Token-urile USB în cauză sunt folosite la scară largă în diferite organizații cu scopul activării cu ușurință a licenței de software. În mod normal, administratorul de sistem al companiei ar trebui să vină la computer cu programul care necesită activarea și să insereze token-ul. Ulterior, acesta va confirma că programul în cauză este într-adevăr legitim (nu piratat) și îl va activa, astfel ca utilizatorul PC-ului sau al server-ului să poată să îl folosească.

Tot ce trebuie să facă un infractor cibernetic este să scaneze rețeaua vizată, căutând portul 1947 deschis, pentru a identifica orice computer care poate fi accesat de la distanță.

Foarte important, portul rămâne deschis după ce token-ul a fost deconectat de la computer, de aceea chiar și într-un mediu corporate protejat și unde s-au aplicat patch-uri de securitate, un infractor nu trebuie decât să instaleze un program folosind soluția HASP sau să conecteze o singură dată token-ul la un PC (chiar și la unul închis), pentru a-l putea ataca de la distanță.

În total, cercetătorii au identificat 14 vulnerabilități într-o componentă a soluției, printre care numeroase vulnerabilități DoS și câteva de tip RCE (executarea de la distanță a unui cod arbitrar) de care atacatorii profită, de exemplu, reușind să aibă acces la drepturi de utilizator privilegiat, nu obișnuit. Astfel, atacatorii au ocazia să pună în executare coduri arbitrare. Vulnerabilitățile descoperite pot să fie periculoase și să cauzeze pierderi mari companiilor.

Toate informațiile au fost comunicate furnizorului. Vulnerabilitățile descoperite au primit următoarele denumiri CVE (Common Vulnerabilities and Exposures):
• CVE-2017-11496 – Remote Code Execution
• CVE-2017-11497 – Remote Code Execution
• CVE-2017-11498 – Denial of Service
• CVE-2017-12818 – Denial of Service
• CVE-2017-12819 – NTLM hash capturing
• CVE-2017-12820 – Denial of Service
• CVE-2017-12821 – Remote Code Execution
• CVE-2017- 12822 – Remote manipulations with configuration files

După descoperire, Kaspersky Lab a informat furnizorii de software afectați, iar companiile au publicat patch-uri de securitate.

Kaspersky Lab ICS CERT le recomandă utilizatorilor produselor afectate să ia următoarele măsuri:
• Să instaleze cea mai recentă versiune sigură a driver-ului cât mai repede posibil sau să contacteze furnizorul pentru instrucțiuni despre cum să își actualizeze driver-ul.
• Să închidă portul cu numărul 1947, cel puțin pe firewall-ul extern (în perimetrul rețelei) – atâta vreme cât acest lucru nu interferează cu procesele de business.