Поделиться
Два десятка новых проблем в промышленных роутерах Sierra угрожают критической инфраструктуре
Два десятка уязвимостей в специализированных роутерах Sierra позволяют нарушать работу объектов КИИ, шпионить за ними или устанавливать вредоносное ПО. Рекомендуется срочно установить обновления.
Популярные и ущербные
Сразу два десятка уязвимостей выявлены в промышленных OT/IoT-роутерах (IoT – интернет вещей) компании Sierra Wireless. Эти устройства широко используются в критической инфраструктуре. Тем самым уязвимости, из которых девять относятся к опасным и критическим, ставят под угрозу множество объектов критической информационной инфраструктуры (КИИ).
Уязвимости, выявленные экспертами компании Forescout Vedere Labs, затрагивают сотовые роутеры Sierra Wireless AirLink. Та же проблема присутствует и в опенсорсных компонентах, таких как TinyXML и OpenNDS (открытый вариант Network Demarcation Service - службы разметки сети), которые используются в AirLink и других устройствах.
Роутеры AirLink отличаются высокой производительностью и пропускной способностью в протоколах связи 3G/4G/5G, WiFi и т.п. Это обеспечило им популярность в промышленной сфере и смежных областях. Различные модели таких роутеров используются в сложных сценариях, таких, например, как предоставление WiFi-соединений в общественном транспорте, связь для аварийных служб, обеспечение скоростных соединений на больших расстояниях и так далее. Соответственно, эти роутеры применяются в государственных системах, инфраструктуре «умных» городов, на производстве, в медицине, в области водоснабжения и канализации, в энергетике и многих других областях.
9,6 баллов и ниже
К сожалению, уязвимости встречаются и в этих продуктах. Из 21 выявленной уязвимости лишь одна является критической - CVE-2023-41101 (9,6 баллов по шкале CVSS). Этот «баг» допускает запуск произвольного кода в OpenNDS. Есть еще одна уязвимость, эксплуатация которой также позволит запустить произвольный код: CVE-2023-38316, но ей присвоены 8,8 балла, а это ниже порога критичности.
Высокоопасными признаны также уязвимости CVE-2023-40458, CVE-2023-40459, CVE-2023-40460, CVE-2023-40461, CVE-2023-40462, CVE-2023-40463, CVE-2023-40464. Перечисленным ошибкам присвоены индексы угрозы от 7,1 до 8,1 баллов. Две из них открывают неавторизованный доступ к встроенной операционной системе (ОС) ALEOS, три - приводят к отказу в работе ACEmanager, еще две допускают межсайтовый скриптинг в ACEmanager.
Как минимум пять из этих уязвимостей не требуют никакой авторизации, другие, скорее всего, тоже не нуждаются в том, чтобы злоумышленник проходил какую-либо авторизацию.
Как утверждают исследователи, некоторые из этих уязвимостей (возможно, в комбинации) позволяют «захватить полный контроль над OT/IoT-роутером в критической инфраструктуре». Это открывает возможность для нарушения нормальной работы сети, для осуществления шпионской деятельности, для скрытного перемещения к более значимым для атакующих активам и, разумеется, для загрузки вредоносов.
В Forescout также отмечают, что атаки могут быть полностью автоматизированными, т.е. производиться ботнетами.
«Для операторов ботнета успешные атаки на такие роутеры - большая удача именно в силу их производительности и пропускной способности», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, ботнеты обыкновенно используются для DDoS-атак и перекачки большого количества спама, так что высокопроизводительные системы и широкие каналы для них - наиболее благоприятная среда. «Что касается AirLink, то, конечно, обилие таких устройств, открытых «всем ветрам», не может не вызывать тревогу. Ведь это - открытые ворота в производственные сети, а следовательно - к возможности нарушить работу объекта КИИ», - подытожила Анастасия Мельникова.
Тысячи их
В Forescout обращают внимание на то, что через поисковик Shodan находятся 86 тыс. роутеров AirLink, относящихся к критической инфраструктуре и при этом доступные извне. На 63,66% патчи к вышеприведенным уязвимостям отсутствуют. Точно обновлены только 9,44%, статус остальных 26,9% неизвестен.
Более 22 тыс. роутеров сохраняют «заводской» SSL-сертификат, оставляя возможность для атаки класса «человек посередине».
Пользователям роутеров рекомендуется установить последнюю версию встроенной ОС или хотя бы установить версию ALEOS 4.9.9, исправляющей все проблемы, кроме тех, что затрагивают OpenNDS.
Разработчики OpenNDS уже выпустили собственное обновление, устраняющее «баги» - 10.1.3.
Разработка TinyXML заброшена, так что обновлений против уязвимости CVE-2023-40462 ждать не приходится.
В Forescout рекомендуют также сменить SSL-сертификаты, отключить или ограничить неключевые службы (в т.ч. Telnet и SSH), реализовать файервол (межсетевой экран) на уровне веб-приложений и установить систему обнаружения попыток вторжения специально для OT/IoT-устройств.
Короткая ссылка
