近日,國外網絡安全研究人員披露了 14 個影響常用TCP/IP 堆棧的漏洞。這些漏洞被命名為“INFRA:HALT”,攻擊者基於該系列漏洞能夠進行遠程代碼執行、拒絕服務、信息泄漏、TCP 欺騙等攻擊,甚至在DNS緩存植入惡意代碼、病毒等。
分析顯示,“INFRA:HALT”系列漏洞主要影響NicheStack 4.3之前所有版本,包括NicheLite也受到影響,全球大多數工業自動化企業都使用NicheStack TCP/IP協議棧,受影響的設備廠商超過200家。
NicheStack,又名InterNiche Stack,是用於嵌入式系統的第三方閉源TCP/IP協議棧組件,旨在提供互聯網連接工業設備,主要部署在制造工廠、發電、水處理和關鍵基礎設施領域的設備上。包含西門子、艾默生、霍尼韋爾、三菱電機、羅克韋爾自動化、施耐德電氣等的可編程邏輯控制器 (PLC) 和其他產品,以及許多制造、發電、水處理等關鍵基礎設施領域的操作技術(OT)設備中均有應用。
“INFRA:HALT”包含14個安全漏洞
“INFRA:HALT”系列漏洞主要包含遠程代碼執行、DoS、信息泄露、TCP欺騙等14個漏洞,影響DNSv4、HTTP、TCP、ICMP等模塊,其中2個漏洞CVSS評分超過9分。
CVE-2020-25928:該漏洞是分析DNS響應時未檢查單個DNS答案時未檢查響應數據長度(response data length)域引發的安全漏洞,可能引發OOB-R/W,是壹個遠程代碼執行漏洞,影響DNSv4模塊,CVSS評分9.8分。
CVE- 2021-31226:該漏洞是分析HTTP POST請求時由於未進行大小驗證引發的堆緩存溢出漏洞,是壹個遠程代碼執行漏洞,影響HTTP模塊,CVSS評分9.1分。
CVE-2020-25767:該漏洞是分析DNS域名時未檢查壓縮指針的指向是否在包邊界內,可能引發OOB-R,最終引發DoS攻擊和信息泄露,該漏洞CVSS評分7.5分,影響DNSv4模塊。
CVE-2020-25927:該漏洞是分析DNS響應時未檢查包頭中特定的查詢或響應數是否與DNS包中的查詢或響應壹致引發的安全問題,可能引發DoS攻擊,CVSS評分8.2分。
CVE-2021-31227:該漏洞是分析HTTP POST請求時由於錯誤的簽名整數比較引發的對緩存溢出漏洞,可能引發DoS攻擊,影響HTTP模塊,CVSS評分7.5分。
CVE-2021-31400:TCP帶外緊急數據處理函數在處理帶外緊急數據的末尾指針指向TCP包外的數據時,會調用壹個panic函數。如果panic函數沒有移除trap調用,就會引發死循環,最終引發DoS攻擊,該漏洞影響TCP模塊,CVSS評分為7.5分。
CVE-2021-31401:TCP頭處理代碼沒有對IP長度(頭+數據)的長度進行處理。如果攻擊者偽造壹個IP包,就可能引發整數溢出,因為IP數據的長度是通過全部IP數據包的長度減去header的長度來計算的。該漏洞影響TCP模塊,CVSS評分為7.5分。
CVE-2020-35683:處理ICMP包的代碼依賴IP payload大小來計算ICMP校驗和,但是IP payload的大小是沒有經過檢查的。當IP payload大小的設定值小於IP header的大小時,ICMP校驗和的計算函數就可能讀越界,引發DoS攻擊。該漏洞影響ICMP模塊,CVSS評分7.5分。
CVE- 2020-35684:處理TCP包的代碼依賴IP payload大小來計算TCP payload的長度。當IP payload大小的設定值小於IP header的大小時,ICMP校驗和的計算函數就可能讀越界,引發DoS攻擊。該漏洞影響TCP模塊,CVSS評分7.5分。
CVE- 2020-3568:該漏洞是由於TCP ISN的生成是以壹種可預測的方式生成的。該漏洞可能引發TCP欺騙,影響TCP模塊,CVSS評分7.5分。
CVE- 2021-27565:當接收到未知的HTTP請求時,會調用panic。該漏洞可能引發DoS攻擊,漏洞影響HTTP模塊,CVSS評分7.5分。
CVE- 2021-36762:TFTP包處理函數無法確保文件名是否是非終止符,因此之後調用strlen()可能會引發協議包緩存越界,引發DoS攻擊。該漏洞影響TFTP模塊,CVSS評分7.5分。
CVE- 2020-25926:該漏洞是由於DNS客戶端未設置足夠多的隨機交易ID引發的,可能引發DNS緩存投毒攻擊。漏洞影響DNSv4模塊,CVSS評分4分。
CVE- 2021-31228:攻擊者可以預測DNS查詢的源端口,因此可以發送偽造的DNS請求包來讓DNS客戶端作為請求的有效應答來接收,可能引發DNS緩存投毒攻擊。漏洞影響DNSv4模塊,CVSS評分4分。
受“INFRA:HALT”漏洞影響的工控廠商
針對全網互聯網工控設備情況進行分析發現,受“INFRA:HALT”系列漏洞影響最嚴重的主要是美國、加拿大、西班牙以及瑞典等國家。
西門子受影響產品:
霍尼韋爾受影響產品:官方尚未發布該系列漏洞安全公告。
施耐德電氣目前尚未提供漏洞修復補丁,建議通過防火墻等安全措施對潛在的漏洞攻擊風險進行緩解。
霍尼韋爾受影響產品:官方尚未發布該系列漏洞安全公告。
三菱受影響產品:官方尚未發布該系列漏洞安全公告。
INFRA:HALT系列漏洞的利用情況
根據安全研究者披露的壹份技術文檔顯示,目前關於“INFRA:HALT”系列漏洞有壹定程度的技術描述,但尚未公布基於該系列漏洞的利用程序與POC。
分析顯示,使用了InterNiche協議棧組件的產品容易遭受“INFRA:HALT”系列漏洞攻擊,受影響的主要為HTTP、FTP、TELNET、SSH等服務。查詢Shodan發現,有超過6400個運行NicheStack協議棧的設備。其中6360個運行HTTP服務器,其他大多數運行FTP、SSH、Telnet等服務。這些設備可能遭受 CVE-2020-25928、CVE-2021-31226漏洞的攻擊,導致設備被遠程控制。
安全研究員公布方還發布了壹個開源的檢測腳本,可以協助檢測設備系統是否使用了InterNiche協議棧及其版本信息。
截至目前,HCC Embedded 公司已準備發布修復補丁。但在更新固件前,攻擊者可能已開始利用“INFRA:HALT”系列漏洞發動攻擊。因此受影響企業應盡快排查、監測相關設備系統的使用情況,禁止相關設備開啟HTTP、FTP、TELNET、SSH等通用網絡服務,或者使用防火墻等網絡安全產品將相關端口進行過濾。
頂象保障工控安全
頂象是壹家以大規模風險實時計算技術為核心的業務安全公司,旨在幫助客戶構建自主可控的風險安全體系,實現業務可持續的增長。作為CNNVD(國家信息安全漏洞庫)、CICSVD(國家工業信息安全漏洞庫)重要技術支撐單位,頂象是工信部、人保部、***青團中央等12個部門主辦“2020年全國工業互聯網安全技術技能大賽”的出題方和裁判員,並獲得主辦方頒發的“突出貢獻獎”榮譽稱號。
基於多年安全技術研究、業務安全攻防實戰經驗,頂象推出了壹整套工控安全智能防護系統,擁有漏洞挖掘、未知威脅發現、風險預測感知、威脅欺騙誘捕、主動安全防禦能力,為石油石化、能源電力、軌道交通、智能制造等工業領域提供覆蓋全生命周期的安全體系。
通過符號執行和汙點跟蹤分析,結合頂象獨有的人工智能技術,實現X86、X86_64、 ARM、MIPS等主流架構的無源碼二進制文件漏洞挖掘,能夠快速定位包括內存越界、溢出等各種類型安全漏洞。並通過集成了數萬種掃描插件的自主研發的非入侵式無損智能掃描系統,對設備進行完整性、脆弱性、安全性進行全面檢測與評估,提升設備的安全性、可靠性和穩定性。
、脆弱性、安全性進行全面檢測與評估,提升設備的安全性、可靠性和穩定性。