Ερευνητές ασφαλείας της Forescout Vedere Labs ανακάλυψαν 21 ευπάθειες που επηρεάζουν Sierra OT/IoT routers και απειλούν κρίσιμες υποδομές. Οι ευπάθειες επιτρέπουν εκτέλεση κώδικα απομακρυσμένα, μη εξουσιοδοτημένη πρόσβαση, cross-site scripting, παράκαμψη ελέγχου ταυτότητας και επιθέσεις denial of service.
Σύμφωνα με τους ερευνητές, οι ευπάθειες επηρεάζουν Sierra Wireless AirLink cellular routers και open-source components όπως το TinyXML και το OpenNDS (open Network Demarcation Service).
Οι AirLink routers χρησιμοποιούνται συχνά στον βιομηχανικό τομέα και στις κρίσιμες υποδομές λόγω της υψηλής απόδοσης 3G/4G/5G και WiFi και της συνδεσιμότητας πολλαπλών δικτύων. Μπορεί να χρησιμοποιούνται για passenger WiFi σε συστήματα συγκοινωνίας, για συνδεσιμότητα οχημάτων για υπηρεσίες έκτακτης ανάγκης, για long-range gigabit connectivity σε επιχειρήσεις πεδίου κλπ.
Δείτε επίσης: Ευπάθεια στο CISCO IOS XE καθιστά ευάλωτες χιλιάδες συσκευές
Οι ερευνητές της Forescout λένε ότι Sierra routers χρησιμοποιούνται σε κυβερνητικά συστήματα, υπηρεσίες έκτακτης ανάγκης, καθώς και σε οργανισμούς που ασχολούνται με την ενέργεια, τις μεταφορές, τις εγκαταστάσεις ύδρευσης και αποχέτευσης και σε μονάδες παραγωγής και οργανισμούς υγειονομικής περίθαλψης.
Ευπάθειες που επηρεάζουν Sierra routers
Οι 21 ευπάθειες που ανακαλύφθηκαν σε Sierra routers και στα TinyXML και OpenNDS components, τα οποία αποτελούν επίσης μέρος άλλων προϊόντων, είναι αρκετά σοβαρές. Συγκεκριμένα, μια από αυτές έχει αξιολογηθεί ως κρίσιμη, ενώ οκτώ ως πολύ σοβαρές. Οι υπόλοιπες 12 παρουσιάζουν μέτριο κίνδυνο.
Οι πιο σημαντικές ευπάθειες είναι:
- CVE-2023-41101 (Απομακρυσμένη εκτέλεση κώδικα στο OpenDNS – βαθμολογία σοβαρότητας 9,6)
- CVE-2023-38316 (Απομακρυσμένη εκτέλεση κώδικα στο OpenDNS – βαθμολογία σοβαρότητας 8,8)
- CVE-2023-40463 (Μη εξουσιοδοτημένη πρόσβαση στο ALEOS – βαθμολογία σοβαρότητας 8,1)
- CVE-2023-40464 (Μη εξουσιοδοτημένη πρόσβαση στο ALEOS – βαθμολογία σοβαρότητας 8,1)
- CVE-2023-40461 (Cross Site Scripting στο ACEmanager – βαθμολογία σοβαρότητας 8,1)
- CVE-2023-40458 (Denial of Service στο ACEmanager – βαθμολογία σοβαρότητας 7,5)
- CVE-2023-40459 (Denial of Service στο ACEmanager – βαθμολογία σοβαρότητας 7,5)
- CVE-2023-40462 (Denial of Service στο ACEmanager που σχετίζεται με το TinyXML – βαθμολογία σοβαρότητας 7,5)
- CVE-2023-40460 (Cross Site Scripting στο ACEmanager – βαθμολογία σοβαρότητας 7,1)
Το ανησυχητικό είναι ότι πέντε από αυτές τις ευπάθειες μπορούν να χρησιμοποιηθούν από τους hackers χωρίς να απαιτείται έλεγχος ταυτότητας. Και άλλες ευπάθειες που επηρεάζουν το OpenNDS, πιθανότατα δεν απαιτούν έλεγχο ταυτότητας.
Σύμφωνα με τους ερευνητές, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί ορισμένα από τα σφάλματα ασφαλείας για να πάρει τον πλήρη έλεγχο Sierra OT/IoT routers σε κρίσιμη υποδομή. Μια επιτυχημένη παραβίαση θα μπορούσε να οδηγήσει σε διακοπή του δικτύου, να επιτρέψει την κατασκοπεία ή να αναπτύξει malware.
Δείτε επίσης: Χιλιάδες Microsoft Exchange servers είναι ευάλωτοι σε ευπάθειες
Οι ερευνητές λένε ότι αυτές οι ευπάθειες μπορούν να χρησιμοποιηθούν και από botnets, όχι μόνο από hackers.
Μετά την εκτέλεση μιας σάρωσης στην μηχανή αναζήτησης Shodan για συσκευές συνδεδεμένες στο διαδίκτυο, οι ερευνητές βρήκαν πάνω από 86.000 AirLink routers εκτεθειμένους στο διαδίκτυο. Αυτοί οι routers ανήκαν σε οργανισμούς που ασχολούνται με κρίσιμες υποδομές όπως η διανομή ενέργειας, η παρακολούθηση οχημάτων, η διαχείριση απορριμμάτων και οι εθνικές υπηρεσίες υγείας.
Περίπου το 80% των εκτεθειμένων συστημάτων βρίσκονται στις Ηνωμένες Πολιτείες. Ακολουθούν ο Καναδάς, η Αυστραλία, η Γαλλία και η Ταϊλάνδη.
Λιγότεροι από 8.600 έχουν εφαρμόσει ενημερώσεις κώδικα σε ευπάθειες που αποκαλύφθηκαν το 2019 και περισσότεροι από 22.000 εκτίθενται σε επιθέσεις man-in-the-middle λόγω της χρήσης ενός προεπιλεγμένου πιστοποιητικού SSL.
Προστασία
Αρχικά, οι διαχειριστές θα πρέπει να αναβαθμίσουν στην έκδοση 4.17.0 ALEOS (AirLink Embedded Operating System), η οποία αντιμετωπίζει τις ευπάθειες.
Το OpenNDS project κυκλοφόρησε επίσης ενημερώσεις ασφαλείας (με την έκδοση 10.1.3) για τις ευπάθειες που επηρεάζουν το open-source project.
Το TinyXML δεν λαμβάνει πλέον ενημερώσεις, οπότε η ευπάθεια CVE-2023-40462 που το επηρεάζει δεν θα διορθωθεί. Θα πρέπει να εγκαταλείψετε το λογισμικό για να παραμείνετε ασφαλείς.
Οι ερευνητές της Forescout προτείνουν επίσης τα ακόλουθα μέτρα:
- Αλλάξτε τα προεπιλεγμένα πιστοποιητικά SSL σε Sierra Wireless routers και παρόμοιες συσκευές.
- Απενεργοποιήστε ή περιορίστε μη βασικές υπηρεσίες όπως captive portals, Telnet και SSH.
- Εφαρμόστε ένα web application firewall για την προστασία των OT/IoT routers από ευπάθειες.
- Εγκαταστήστε ένα OT/IoT-aware IDS για την παρακολούθηση του εξωτερικού και εσωτερικού network traffic.
Δείτε επίσης: Apple: Διορθώνει zero-day ευπάθειες σε iPhone, iPad και Mac
Επιπτώσεις επιθέσεων σε κρίσιμες υποδομές
Οι επιπτώσεις των κυβερνοεπιθέσεων στις κρίσιμες υποδομές μπορούν να είναι καταστροφικές. Οι επιθέσεις αυτές μπορούν να προκαλέσουν διακοπή λειτουργίας, απώλεια δεδομένων και αναταραχή στις κρίσιμες υπηρεσίες που εξαρτώνται από αυτές τις υποδομές.
Οι κυβερνοεπιθέσεις μπορούν, ακόμα, να προκαλέσουν οικονομικές απώλειες, καθώς η διακοπή της κρίσιμης υποδομής μπορεί να έχει αρνητικές επιπτώσεις στην οικονομία ενός κράτους ή μιας περιοχής. Παράλληλα, οι επιθέσεις αυτές μπορούν να προκαλέσουν απώλεια εμπιστοσύνης του κοινού και των επιχειρήσεων στην ασφάλεια των κρίσιμων υποδομών.
Τέλος, οι επιθέσεις μπορούν να έχουν επιπτώσεις στην ανθρώπινη ασφάλεια. Αν οι επιθέσεις αυτές επηρεάσουν τα συστήματα υγείας, την ενέργεια ή την ύδρευση, μπορεί να προκληθεί κίνδυνος για την ανθρώπινη ζωή και υγεία. Επιπλέον, οι επιθέσεις αυτές μπορούν να έχουν επιπτώσεις στην εθνική ασφάλεια και την πολιτική σταθερότητα ενός κράτους.
Πηγή: www.bleepingcomputer.com