(уязвимость) Продукты Advantech до сих пор уязвимы к Shellshock и Heartbleed
Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
Два раза за прошлый год ИБ-исследователи зафиксировали наличие критических уязвимостей в шлюзах Modbus от Advantech, используемых для подключения устройств в системах управления производственными процессами к IP-сетям.
Недавно независимый исследователь Нил Смит (Neil Smith) обнаружил прописанные в коде SSH-ключи на устройствах Advantech EKI, а год назад эксперты из Core Security нашли там же уязвимости переполнения буфера и внедрения кода. Несмотря на пристальное внимание экспертов к прошивке, «слона-то они и не приметили».
Исследователи Rapid7 тем временем опубликовали информацию о том, что IP-шлюз EKI-1322 GPRS подвержен Shellshock и Heartbleed, двум серьезным брешам в оболочке командной строки bash и OpenSSL соответственно.
В 2014 году баги в Shellshock и Heartbleed были обнаружены в миллионах устройств на Linux и UNIX, использующих уязвимые версии Bash shell или библиотеки OpenSSL library. Хотя патчи для всех версий Bash на Linux и OpenSSL вышли достаточно быстро, однако, как всегда бывает со всеми масштабными уязвимостями, скорость внедрения патчей зависит от того, насколько оперативно вендоры выкатят соответствующие прошивки.
Advantech «отличилась» в этом плане сразу по двум пунктам: во-первых, компания так и не закрыла две критические уязвимости, а во-вторых, вендор решил проигнорировать отчет Rapid7, опубликованный еще 11 ноября. На запрос Threatpost о комментарии Advantech не откликнулась.
«Не знаю даже, что думать, — иронизирует Эйч Ди Мур (HD Moore), главный специалист по исследованиям в Rapid7 и создатель Metasploit. — Если вспомнить всю историю уязвимостей в этих продуктах, можно заметить, что другая ИБ-компания уже проводила аудит всех бинарников и обнаружила те же уязвимости, на которые я указал пару недель назад. Слегка странно, что кто-то так основательно занялся проблемой, что провел реверс-инжиниринг кода, чтобы найти баги переполнения стека, бэкдор и вшитые SSH-ключи, но даже не подумал проверить код на наличие Shellshock. Не понимаю, почему так получилось, но исследователи упустили самый очевидный из багов».
Rapid7 также нашла изъяны в DHCP-клиенте Advantech версии 1.3.20-pl0, в том числе баг переполнения буфера. Мур, однако, не уверен, что эта уязвимость допускает эксплойт; тем не менее, поскольку клиент давно не обновлялся, он может быть подвержен и другим багам.
Эксплуатация Shellshock — слишком очевидный выбор для потенциальных атакующих: публичные эксплойты появились спустя очень короткое время после обнародования уязвимости и сразу были включены в базу Metasploit. Однако в данном случае вероятность эксплуатации Shellshock несколько ниже.
«Скорее всего, баг не эксплуатируется itw в настоящий момент, так как для проведения атаки необходимо знать определенный CGI-путь, — отметил Мур. — В старых устройствах используется скрипт ping.sh, но на более новых моделях в определенной директории используются три-четыре shell-скрипта, при этом ни одна из известных атак не ищет имена этих CGI-BIN. Даже если эксплойт возможен, данный баг в атаках еще не использовался».
В начале ноября Advantech и ICS-CERT предупредили о том, что в прошивке продуктов EKI-122x обнаружены SSH-ключи; в обновленной версии прошивки, выпущенной Advantech, были отключены SSH и HTTPS.
«Информируем о том, что обновление прошивки повлечет за собой отключение HTTPS и SSH и для восстановления прежнего состояния потребуется реконфигурация устройства. Таким образом, если пользователь планирует обновлять прошивку в удаленном режиме через HTTPS- или SSH-подключение, ему нужно иметь в виду, что после обновления ему понадобится вручную обеспечить безопасное подключение», — комментирует Смит.
По данным Advantech, вшитые SSH-ключи обнаружены в следующих устройствах:
- Линейка EKI-136* с версией прошивки до 1.27.
- Линейка EKI-132* с версией прошивки до 1.98.
- Линейка EKI-122*-BE с версией прошивки до 1.65.
В то же время Мур признал, что исследование Смита привлекло его внимание и он решил более тщательно исследовать новую прошивку в поисках скомпрометированных ключей для своего реестра SSH BadKeys, а заодно нашел ряд других уязвимостей.
Также Мур сказал, что, хотя он нашел нужную конфигурацию OpenSSH и прилагаемые к ней приватные SSH-ключи, ни один из них не используется в 132-й серии продуктов Advantech. По словам исследователя, RSA-ключи генерируются на лету при помощи клиента Dropbear SSH.
«Когда система загружается, бинарник edgserver запускает остальные процессы в системе; также при инициализации создается файл ключа Dropbear, — сказал Мур. — Как старая, так и новая версии создают ключ при запуске. Таким образом, они не являются уязвимыми, и ключ вообще не используется».
Комментарии из Telegram
Комментарии ВКонтакте