上图:“INFRA:HALT”漏洞的技术分析和影响判断
分析显示,“INFRA:HALT”系列漏洞主要影响NicheStack 4.3之前的所有版本,包括NicheLite。全球大部分工业自动化企业使用NicheStack TCP/IP协议栈,受影响的设备厂商超过200家。
NicheStack,也称为InterNiche Stack,是一个面向嵌入式系统的第三方闭源TCP/IP协议栈组件。它旨在为工业设备提供互联网接入,主要部署在制造工厂、发电、水处理和关键基础设施领域的设备中。包括西门子、艾默生、霍尼韦尔、三菱电机、罗克韦尔自动化、施耐德电气等产品,以及制造、发电、水处理等关键基础设施领域的众多操作技术(OT)设备。
“INFRA:HALT”包含14个安全漏洞。
“INFRA:HALT”系列漏洞主要包括远程代码执行、DoS、信息泄露、TCP欺骗等14漏洞,影响DNSv4、HTTP、TCP、ICMP等模块,两个漏洞的CVSS评分超过9。
CVE-2020-25928:该漏洞是在分析DNS响应时未检查响应数据长度字段而导致的安全漏洞,可能导致OOB-R/W,是一个远程代码执行漏洞,影响DNSv4模块,CVSS评分为9.8。
CVE- 2021-31226:此漏洞是一个堆缓存溢出漏洞,在分析HTTP POST请求时没有进行大小验证。这是一个影响HTTP模块的远程代码执行漏洞,CVSS得分为9.1。
CVE-2020-25767:该漏洞是在分析DNS域名时,未能检查压缩指针是否在数据包边界内,可能导致OOB-R,最终导致DoS攻击和信息泄露。漏洞CVSS得分为7.5分,它会影响DNSv4模块。
CVE-2020-25927:该漏洞是在分析DNS响应时,没有检查报头中的特定查询或响应号是否与DNS包中的查询或响应号一致而导致的安全问题,可能导致DoS攻击。CVSS得分是8.2。
CVE-2021-31227:该漏洞是在分析HTTP POST请求时,由于不正确的签名整数比较导致的缓存溢出漏洞,可能导致DoS攻击,影响HTTP模块。CVSS得分是7.5。
CVE-2021-31400:当带外紧急数据的结束指针指向TCP包外的数据时,TCP带外紧急数据处理函数会调用一个panic函数。如果panic函数不删除trap调用,就会触发无限循环,最终导致DoS攻击。此漏洞会影响TCP模块,CVSS得分为7.5。
CVE-2021-31401:TCP报头处理代码不处理IP(报头+数据)的长度。如果攻击者伪造一个IP包,可能会造成整数溢出,因为IP数据的长度是用所有IP包的长度减去报头的长度计算出来的。该漏洞会影响TCP模块,CVSS得分为7.5。
CVE-2020-35683:处理ICMP数据包的代码依赖于IP有效负载的大小来计算ICMP校验和,但IP有效负载的大小是未经检查的。当IP有效载荷大小的设定值小于IP报头的设定值时,ICMP校验和的计算函数可能会被越界读取,从而导致DoS攻击。此漏洞影响ICMP模块,CVSS得分为7.5。
CVE- 2020-35684:处理TCP数据包的代码根据IP有效负载的大小来计算TCP有效负载的长度。当IP有效载荷大小的设定值小于IP报头的设定值时,ICMP校验和的计算函数可能会被越界读取,从而导致DoS攻击。此漏洞会影响TCP模块,CVSS得分为7.5。
CVE- 2020-3568:此漏洞是由于以可预测的方式生成TCP ISN造成的。此漏洞可能导致TCP欺骗并影响TCP模块,CVSS得分为7.5。
CVE- 2021-27565:当收到未知的HTTP请求时,将会调用panic。该漏洞可能导致DoS攻击,并且该漏洞影响HTTP模块,CVSS得分为7.5。
CVE- 2021-36762:TFTP包处理程序无法保证文件名是否为非终止符,因此稍后调用strlen()可能会导致协议包缓存溢出和DoS攻击。此漏洞影响TFTP模块,CVSS得分为7.5。
CVE- 2020-25926:此漏洞是由DNS客户端未设置足够的随机事务ID导致的,这可能导致DNS缓存中毒攻击。漏洞影响DNSv4模块,CVSS分值为4。
CVE- 2021-31228:攻击者可以预测DNS查询的源端口,因此他可以发送伪造的DNS请求包,供DNS客户端接收,作为对请求的有效响应,这可能会触发DNS缓存中毒攻击。漏洞影响DNSv4模块,CVSS分值为4。
受“INFRA:HALT”漏洞影响的工业控制制造商
根据对全网工控设备的分析,发现受“INFRA:HALT”系列漏洞影响最严重的国家是美国、加拿大、西班牙和瑞典。
西门子受影响的产品:
霍尼韦尔受影响产品:官方尚未发布该系列漏洞安全公告。
施耐德电气目前尚未提供漏洞修复补丁,建议通过防火墙等安全措施减轻潜在的漏洞攻击风险。
霍尼韦尔受影响产品:官方尚未发布该系列漏洞安全公告。
三菱受影响产品:官方尚未发布该系列漏洞安全公告。
利用INFRA:HALT系列漏洞
根据安全研究人员披露的一份技术文件,关于“INFRA:HALT”系列漏洞有一定程度的技术描述,但基于该系列漏洞的利用程序和POC并未公布。
分析表明,使用InterNiche协议栈组件的产品容易受到“INFRA:HALT”系列漏洞攻击,受影响的服务主要是HTTP、FTP、TELNET和SSH。查询Shodan发现有超过6400台设备运行NicheStack协议栈。其中6360运行HTTP服务器,大部分运行FTP、SSH、Telnet等服务。这些设备可能会受到CVE-2020-25928和CVE-2021-31226漏洞的攻击,导致设备被远程控制。
安全研究员还发布了开源的检测脚本,可以帮助检测设备系统是否使用InterNiche协议栈及其版本信息。
到目前为止,HCC嵌入式公司已经准备好发布修复补丁。然而,在更新固件之前,攻击者可能已经开始利用“INFRA:HALT”系列漏洞发起攻击。因此,受影响的企业应尽快检查和监控相关设备系统的使用情况,禁止相关设备开启HTTP、FTP、TELNET、SSH等通用网络服务,或使用防火墙等网络安全产品过滤相关端口。
顶级形象确保工业安全
顶像是一家以大规模风险实时计算技术为核心的业务安全公司,旨在帮助客户构建自主可控的风险安全体系,实现业务的可持续增长。作为CNNVD(国家信息安全漏洞数据库)和CICSVD(国家工业信息安全漏洞数据库)的重要技术支持单位,顶像是工信部、人力资源和社会保障部、共青团中央等12部门主办的“2020年全国工业互联网安全技术技能大赛”,获得主办方颁发的“突出贡献奖”荣誉称号。
基于多年的安全技术研究和业务安全攻防实践经验,顶像推出了一套工业安全智能防护系统,具备漏洞挖掘、未知威胁发现、风险预测与感知、威胁欺骗与诱捕、主动安全防御等能力,为石油石化、能源电力、轨道交通、智能制造等工业领域提供覆盖全生命周期的安全体系。
通过符号执行和污点跟踪分析,结合Top Image独有的人工智能技术,实现了X86、X86_64、ARM、MIPS等主流架构的开源二进制文件漏洞挖掘,可以快速定位包括内存溢出、溢出在内的各类安全漏洞。通过自主研发的集成数万个扫描插件的无创无损智能扫描系统,全面检测和评估设备的完整性、脆弱性和安全性,提高设备的安全性、可靠性和稳定性。
、易损性和安全性,提高设备的安全性、可靠性和稳定性。