Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

4 декабря 2015 г.

[уязвимость] Продукты Advantech до сих пор уязвимы к Shellshock и Heartbleed

Два раза за прошлый год ИБ-исследователи зафиксировали наличие критических уязвимостей в шлюзах Modbus от Advantech, используемых для подключения устройств в системах управления производственными процессами к IP-сетям.

Недавно независимый исследователь Нил Смит (Neil Smith) обнаружил прописанные в коде SSH-ключи на устройствах Advantech EKI, а год назад эксперты из Core Security нашли там же уязвимости переполнения буфера и внедрения кода. Несмотря на пристальное внимание экспертов к прошивке, «слона-то они и не приметили».

Исследователи Rapid7 тем временем опубликовали информацию о том, что IP-шлюз EKI-1322 GPRS подвержен Shellshock и Heartbleed, двум серьезным брешам в оболочке командной строки bash и OpenSSL соответственно.

В 2014 году баги в Shellshock и Heartbleed были обнаружены в миллионах устройств на Linux и UNIX, использующих уязвимые версии Bash shell или библиотеки OpenSSL library. Хотя патчи для всех версий Bash на Linux и OpenSSL вышли достаточно быстро, однако, как всегда бывает со всеми масштабными уязвимостями, скорость внедрения патчей зависит от того, насколько оперативно вендоры выкатят соответствующие прошивки.

Advantech «отличилась» в этом плане сразу по двум пунктам: во-первых, компания так и не закрыла две критические уязвимости, а во-вторых, вендор решил проигнорировать отчет Rapid7, опубликованный еще 11 ноября. На запрос Threatpost о комментарии Advantech не откликнулась.

«Не знаю даже, что думать, — иронизирует Эйч Ди Мур (HD Moore), главный специалист по исследованиям в Rapid7 и создатель Metasploit. — Если вспомнить всю историю уязвимостей в этих продуктах, можно заметить, что другая ИБ-компания уже проводила аудит всех бинарников и обнаружила те же уязвимости, на которые я указал пару недель назад. Слегка странно, что кто-то так основательно занялся проблемой, что провел реверс-инжиниринг кода, чтобы найти баги переполнения стека, бэкдор и вшитые SSH-ключи, но даже не подумал проверить код на наличие Shellshock. Не понимаю, почему так получилось, но исследователи упустили самый очевидный из багов».

Rapid7 также нашла изъяны в DHCP-клиенте Advantech версии 1.3.20-pl0, в том числе баг переполнения буфера. Мур, однако, не уверен, что эта уязвимость допускает эксплойт; тем не менее, поскольку клиент давно не обновлялся, он может быть подвержен и другим багам.

Эксплуатация Shellshock — слишком очевидный выбор для потенциальных атакующих: публичные эксплойты появились спустя очень короткое время после обнародования уязвимости и сразу были включены в базу Metasploit. Однако в данном случае вероятность эксплуатации Shellshock несколько ниже.

«Скорее всего, баг не эксплуатируется itw в настоящий момент, так как для проведения атаки необходимо знать определенный CGI-путь, — отметил Мур. — В старых устройствах используется скрипт ping.sh, но на более новых моделях в определенной директории используются три-четыре shell-скрипта, при этом ни одна из известных атак не ищет имена этих CGI-BIN. Даже если эксплойт возможен, данный баг в атаках еще не использовался».

В начале ноября Advantech и ICS-CERT предупредили о том, что в прошивке продуктов EKI-122x обнаружены SSH-ключи; в обновленной версии прошивки, выпущенной Advantech, были отключены SSH и HTTPS.

«Информируем о том, что обновление прошивки повлечет за собой отключение HTTPS и SSH и для восстановления прежнего состояния потребуется реконфигурация устройства. Таким образом, если пользователь планирует обновлять прошивку в удаленном режиме через HTTPS- или SSH-подключение, ему нужно иметь в виду, что после обновления ему понадобится вручную обеспечить безопасное подключение», — комментирует Смит.

По данным Advantech, вшитые SSH-ключи обнаружены в следующих устройствах:

  • Линейка EKI-136* с версией прошивки до 1.27.
  • Линейка EKI-132* с версией прошивки до 1.98.
  • Линейка EKI-122*-BE с версией прошивки до 1.65.

В то же время Мур признал, что исследование Смита привлекло его внимание и он решил более тщательно исследовать новую прошивку в поисках скомпрометированных ключей для своего реестра SSH BadKeys, а заодно нашел ряд других уязвимостей.

Также Мур сказал, что, хотя он нашел нужную конфигурацию OpenSSH и прилагаемые к ней приватные SSH-ключи, ни один из них не используется в 132-й серии продуктов Advantech. По словам исследователя, RSA-ключи генерируются на лету при помощи клиента Dropbear SSH.

«Когда система загружается, бинарник edgserver запускает остальные процессы в системе; также при инициализации создается файл ключа Dropbear, — сказал Мур. — Как старая, так и новая версии создают ключ при запуске. Таким образом, они не являются уязвимыми, и ключ вообще не используется».

Источник