Hardware
Ciberseguridad
Red
Industria
DDoS
Kaspersky

Un popular Token de gestión de licencias abre a los ciberdelincuentes un canal de acceso remoto

Kaspersky Lab descubre numerosas vulnerabilidades en un software de administración de licencias corporativas.

generica industria

Los analistas de Kaspersky Lab ICS CERT han descubierto un gran número vulnerabilidades graves en el sistema de administración de licencias Hardware Against Software Piracy (HASP). Se trata de un sistema utilizado ampliamente en compañías y sistemas de control industrial (ICS) para la activación de licencias de software. El número de sistemas afectados por esta tecnología vulnerable puede llegar a superar los cientos de miles en todo el mundo.

Dichos analistas ya han identificado 14 vulnerabilidades diferentes en un componente de la solución de software, incluyendo múltiples vulnerabilidades DoS y varias RCE (ejecución remota de código arbitrario) que, por ejemplo, se pueden aprovechar sin necesidad de disponer de derechos de usuario sino que es suficiente con los derechos del sistema de privilegios. Esta vía proporciona a los ciberdelincuentes la oportunidad de ejecutar cualquier código arbitrario. Además, todas las vulnerabilidades identificadas pueden llegar a ser potencialmente muy peligrosas y causar grandes pérdidas a las empresas.

¿De qué manera se produce la infección? Los Token USB se utilizan normalmente en las organizaciones para la activación de las licencias de software. En un escenario normal, el administrador del sistema de la empresa sólo tiene que acercarse al ordenador en el que se necesita el programa y activarlo introduciendo el Token USB. A continuación, se confirma que el software es legítimo (no ha sido hackeado) y se activa, permitiendo al usuario del PC o del servidor empezar a utilizarlo.

Cuando se conecta el Token al PC o al servidor por primera vez, el sistema operativo Windows descarga el controlador del programa desde los servidores del proveedor, haciendo que el Token pueda funcionar correctamente con el hardware del ordenador. En otros casos, el controlador viene ya instalado con un software de terceros que utiliza el sistema antes mencionado para proteger la licencia.

Los analistas de Kaspersky Labs han descubierto que, en el momento de la instalación, este software agrega el puerto 1947 del ordenador a la lista de exclusiones de Windows Firewall, sin notificarlo previamente al usuario, abriendo la puerta a un ataque remoto. Así, el ciberdelincuente sólo necesita escanear la red objetivo para abrir aquel puerto, identificando cualquier ordenador que esté disponible remotamente.

Pero lo que es más importante: el puerto permanece abierto después de que el Token se haya desconectado. Incluso en un entorno corporativo protegido y parcheado, el ciberdelincuente sólo necesitará que se instale un software utilizando la solución HASP o enchufar el Token a un PC una única vez (incluso uno que este bloqueado), para que ya pueda ser objetivo de un ataque remoto.

Esta información se ha comunicado al fabricante. Todas las vulnerabilidades descubiertas han recibido los siguientes números CVE:

• CVE-2017-11496 – Remote Code Execution.

• CVE-2017-11497 – Remote Code Execution.

• CVE-2017-11498 – Denial of Service.

• CVE-2017-12818 – Denial of Service.

• CVE-2017-12819 – NTLM hash capturing.

• CVE-2017-12820 – Denial of Service.

• CVE-2017-12821 – Remote Code Execution.

• CVE-2017- 12822 – Remote manipulations with configuration files.

"Teniendo en cuenta lo extendido del uso de este sistema de gestión de licencias, las consecuencias pueden ser enormes, ya que estos Tokens se utilizan no sólo en entornos corporativos comunes sino también en instalaciones críticas con estrictas reglas de acceso remoto. Esta protección puede inutilizarse fácilmente con la ayuda del problema que descubrimos y que está poniendo en peligro las redes críticas", dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidad, Kaspersky Lab ICS CERT.

Tras el descubrimiento, Kaspersky Lab notificó estas vulnerabilidades a los proveedores de software afectados y todas las empresas afectadas lanzaron los parches de seguridad adecuados.

Kaspersky Lab ICS CERT recomienda a los usuarios de los productos afectados que hagan lo siguiente:

• Instalar la última versión (segura) de los drivers tan pronto como sea posible, o contactar al fabricante para recibir instrucciones sobre cómo se debe proceder.

• Cerrar el puerto 1947, o al menos en firewall externo (en el perímetro de la red), pero sólo si no interfiere con los procesos de negocio.

INFORMACIÓN ADICIONAL

 

Prueba gratis durante 30 días Kaspersky Endpoint Security for Business Select.