TCP/IP堆栈漏洞影响数百家工控设备供应商
日前,Forescout研究人员发现了14个影响专有NicheStack(又名 InterNiche)TCP/IP堆栈的新漏洞,这些堆栈用于OT设备,例如非常流行的Siemens S7 PLC。
研究人员同时指出:“主要的OT设备供应商,如艾默生、霍尼韦尔、三菱电机、罗克韦尔自动化和施耐德电气,均为堆栈原始开发商InterNiche的客户。该堆栈在OT中非常欢迎,受影响最大的垂直行业是制造业。”
NicheStack中的INFRA:HALT漏洞
NicheStack TCP/IP堆栈由InterNiche Technologies于1996年开发。自问世以来,它已被各种OEM以多种形式分发,并作为其他TCP/IP堆栈的基础。
Forescout和JFrog Security研究人员在NicheStack中发现的14个漏洞被统称为INFRA:HALT,允许远程代码执行、拒绝服务、信息泄漏、TCP欺骗和DNS缓存中毒。
“如果这些漏洞被利用,不法分子就可以控制用于控制照明、电力、安全和消防系统的楼宇自动化设备,以及用于运行装配线、机器或机器人设备的可编程逻辑控制器 (PLC)。这可能会让攻击者实现对网联网设备的访问,一旦被访问,堆栈就会成为在IT网络中传播感染性恶意软件的易受攻击的入口点,进而有可能严重破坏工业运营。”研究人员解释说。
补救和缓解
花了将近一年时间,该公司为受影响的NicheStack版本(即4.3之前的所有版本)发布了补丁。研究人员指出,补丁可应要求提供,使用堆栈的设备供应商应向客户提供自己的更新。
Forescout提供了一个开源脚本,企业管理员可以使用它来检测运行NicheStack(和其他易受攻击的TCP/IP堆栈)的设备。
除了实施补丁外,还敦促管理员使用网络分段来降低易受攻击设备的风险,并监控所有网络流量中是否存在试图利用已知漏洞或零日漏洞的恶意数据包。
