資訊洩露、DNS快取中毒!版本低於4.3的NicheStack受高嚴重安全漏洞影響

被統稱為INFRA:HALT的高嚴重漏洞正在影響所有版本低於4.3的NicheStack，至少200家工業自動化供應商使用該專有TCP/IP堆疊，其中許多處於市場的領先細分市場。

該堆疊通常在實時作業系統(RTOS)上執行操作技術(OT)和工業控制系統(ICS)裝置，以提供網際網路和網路功能。

遠端程式碼執行風險

INFRA:HALT是由Forescout研究實驗室和JFrog安全研究聯合發現的一組14個漏洞。這是Forescout的記憶研究專案(Amnesia:33 , NUMBER:JACK , NAME:WRECK )的一部分，專注於TCP/IP堆疊的安全性。

漏洞範圍從遠端程式碼執行、拒絕服務 (DoS) 和資訊洩漏到TCP欺騙和DNS快取中毒。

大多數都是高嚴重性的安全問題，但其中兩個：CVE-2020-25928 和 CVE-2020-31226 -被認為是關鍵嚴重問題。安全研究人員將他們的嚴重程度評分分別為9.8和9.1。

它們會影響堆疊中的DNS客戶端和HTTP伺服器元件，允許遠端攻擊者在脆弱的裝置上執行程式碼，從而完全控制它。

Forescout和JFrog研究人員在早些時候釋出的聯合技術報告中解釋說，要觸發 CVE-2020-25928，攻擊者需要傳送一個精心設計的DNS資料包作為對來自易受攻擊裝置的DNS查詢的響應。

在一次漏洞演示中，針對CVE-2020-25928安全漏洞，攻擊了管理工業風扇的可程式設計邏輯控制器(PLC)。在發起攻擊不久後，PLC無法再啟用風扇，需要重啟以重新控制風扇。

在攻擊中，只需四個步驟即可使PLC崩潰：

• 裝置1，易受INFRA:HALT攻擊，向DNS伺服器傳送DNS請求作為其正常操作的一部分

• 攻擊者向裝置1傳送包含惡意shellcode的虛假DNS響應

• 當裝置1試圖解析DNS響應時，其邏輯被劫持，攻擊者獲得了對其的遠端控制。裝置被指示與裝置2(連線HVAC的內部PLC)建立TCP連線，併傳送一個惡意的FTP資料包，利用該PLC中的0天時間

• PLC崩潰，迫使風扇控制停止工作

在INFRA:HALT的14個漏洞中，有10個被評為嚴重程度高的漏洞，2個嚴重程度低的漏洞，2個嚴重程度低的漏洞:

大量易受攻擊的裝置

NicheStack，也稱為InterNiches，由HCC Embedded維護。大約200家廠商的裝置中都有這個庫。該公司的一箇舊網站版本列出了一些知名客戶:艾默生、霍尼韋爾、三菱電氣、羅克韋爾自動化、施耐德電氣和西門子。

3月8日對Shodan的搜尋顯示，有超過6,400臺裝置執行該堆疊的易受攻擊版本。今天的數字可能會更低。

透過檢視從其監控的1300多萬客戶裝置中收集的資料，安全研究人員發現來自21家供應商的2500個系統容易受到INFRA:HALT的攻擊。

其中近一半(46%)的裝置被部署在能源和電力部門的工業控制系統中。其中四分之一在VoIP行業，18%在網路領域。

緩解措施

HCC Embedded已透過可應要求提供的補丁解決了所有INFRA:HALT 漏洞。將版本更新到 NicheStack4.3是目前針對這組安全問題提供全面保護的唯一解決方案。

對於無法立即打補丁的情況，Forescout和JFrog準備了一個指令碼來檢測執行NicheStack 的裝置以及一組可以防止妥協的緩解措施：

將易受攻擊的裝置與網路的其餘部分進行限制和分割，直到修補了它們

CVE-2020-25928、CVE-2020-25767、CVE-2020-25927、CVE-2021-31228、CVE-2020-25926 [DNSv4 客戶端]：

如果不需要，可以禁用DNSv4客戶端，或阻斷DNSv4流量。因為有幾個漏洞可以促進DNS欺騙攻擊，使用內部DNS伺服器可能是不夠的(攻擊者可能能夠劫持請求-響應匹配)

CVE-2021-31226、CVE-2021-31227 [HTTP 伺服器]：

如果不需要，禁用HTTP伺服器，或將HTTP連線列入白名單

CVE-2021-31400、CVE-2021-31401、CVE-2020-35684 [TCP]

監控格式錯誤的IPv4/TCP資料包的流量並阻止它們(在正確配置的防火牆後面放置一個易受攻擊的裝置應該就足夠了

CVE-2020-35683 [ICMPv4]

監控格式錯誤的ICPMv4資料包的流量並進行阻斷。

軟體安全是網路安全的最基礎防線。頻繁披露的嚴重軟體安全漏洞意味著，在軟體開發時期在關注應用軟體功能效能的同時，更要將安全放在首位。尤其在OWASP Top10中，60-70%的安全漏洞型別是透過原始碼靜態分析技術檢測出來的。因此，在軟體開發時期進行 靜態程式碼安全檢測並及時修復漏洞，不但加強軟體抵禦惡意軟體攻擊的能力，同時也能確保網路安全，為企業降低因網路攻擊帶來的巨大經濟損失。

Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!