Kaspersky Lab ontdekt meerdere kwetsbaarheden in wijd verspreide bedrijfssoftware voor licentiebeheer

ICS CERT onderzoekers van Kaspersky Lab hebben een aantal ernstige kwetsbaarheden aangetroffen in het licentiebeheersysteem Hardware Against Software Piracy (HASP), dat veel wordt toegepast in bedrijfs- en ICS-omgevingen om software onder licentie te activeren. Wereldwijd loopt het aantal systemen met deze technologie wellicht in de honderdduizenden of meer.

De betreffende USB-tokens worden in verschillende organisaties op grote schaal toegepast voor eenvoudige activering van softwarelicenties. De systeembeheerder sluit het token aan op de computer waarop de te activeren software staat. Het zal dan, als het goed is, bevestigen dat de software legitiem is, dus niet illegaal gekopieerd. Vervolgens wordt de software geactiveerd en kan de gebruiker van de pc of server ermee werken.

kas Zodra het token voor de eerste keer op een pc of server wordt aangesloten, downloadt Windows de softwaredriver van de server van de leverancier om ervoor te zorgen dat de tokenhardware op de juiste manier samenwerkt met de computerhardware. In sommige gevallen wordt het stuurprogramma meegeleverd met software van derden die van bovengenoemd licentiebeheersysteem gebruikmaakt. Onze experts hebben vastgesteld dat deze software na installatie poort 1947 van de computer toevoegt aan de lijst met uitzonderingen van de Windows Firewall, zonder de gebruiker daarover te informeren. Dit zet de poort open voor een aanval op afstand. Een aanvaller hoeft nu alleen het aan te vallen netwerk te scannen op openstaande poorten 1947 om alle op afstand beschikbare computers te identificeren.

Nog belangrijker is dat de poort ook ná het verwijderen van het token open blijft staan. Dit betekent dat een aanvaller zelfs in een gepatchte en beschermde bedrijfsomgeving alleen software met de HASP-oplossing hoeft te installeren of het token éénmaal aan een pc – zélfs een vergrendelde – hoeft te koppelen om deze beschikbaar te maken voor aanvallen op afstand.

Onderzoekers hebben in totaal veertien kwetsbaarheden vastgesteld in een component van de software-oplossing, waaronder meerdere DoS-kwetsbaarheden en verschillende RCE's (Remote Code Execution, uitvoering op afstand van willekeurige code) die bijvoorbeeld automatisch worden geëxploiteerd, niet op basis van gebruikersrechten, maar op basis van de meest geprivilegieerde systeemrechten. Dit biedt aanvallers de mogelijkheid om iedere willekeurige code uit te voeren. Alle vastgestelde kwetsbaarheden kunnen zeer gevaarlijk zijn en veel schade veroorzaken voor bedrijven.

Alle informatie is aan de leverancier gerapporteerd. De gevonden kwetsbaarheden hebben de volgende CVE-nummers ontvangen:

"Gezien de wijdverbreide toepassing van dit licentiebeheersysteem zijn de gevolgen mogelijk zeer groot, omdat deze tokens niet alleen worden gebruikt in normale bedrijfsomgevingen, maar ook bij kritieke voorzieningen met strikte regels voor externe toegang”, zegt Vladimir Dashchenko, hoofd van de vulnerability research group van Kaspersky Lab ICS CERT. “Deze regels kunnen nu eenvoudig worden omzeild, wat een groot risico voor belangrijke netwerken betekent.”

Direct na de ontdekking heeft Kaspersky Lab deze kwetsbaarheden bij de betrokken softwareleveranciers gemeld, waarop deze bedrijven beveiligingspatches hebben uitgegeven.

Kaspersky Lab ICS CERT raadt gebruikers van de betreffende producten ten zeerste aan het volgende te doen:

  • Installeer zo snel mogelijk de nieuwste (beveiligde) versie van het stuurprogramma of neem contact op met de leverancier voor instructies over het updaten van het stuurprogramma.
  • Sluit poort 1947, in ieder geval in de externe firewall (van het netwerk), maar alléén als dit geen bedrijfsprocessen verstoort.
Lees ook
Cybercriminelen misbruiken vaak oude beveiligingsgaten

Cybercriminelen misbruiken vaak oude beveiligingsgaten

Cybercriminelen maken op grote schaal misbruik van beveiligingsgaten die al jaren bekend zijn. Het feit dat zowel consumenten als bedrijven verzuimen deze gaten te dichten biedt kansen voor aanvallers. Hiervoor waarschuwt Hewlett-Packard, dat in een onderzoek 120.000 cyberaanvallen heeft bestudeerd. Bij 44% van de onderzochte aanvallen blijkt gebr1

Amerikaanse leger maakt broncode van cyberwarfare-tool openbaar

Amerikaanse leger maakt broncode van cyberwarfare-tool openbaar

Het Amerikaanse leger maakt de broncode van een tool die wordt gebruikt om cyberaanvallen te herkennen en analyseren openbaar. De Verenigde Staten (VS) vraagt ontwikkelaars en gebruikers mee te kijken naar de broncode om fouten op te sporen. Het Army Research Lab heeft de broncode van Dshell openbaar gemaakt. Dshell is een tool die door het Amerik1

Snowden: ‘Geheime diensten VS creëeren een zwarte markt voor beveiligingsgaten’

Snowden: ‘Geheime diensten VS creëeren een zwarte markt voor beveiligingsgaten’

Het huidige beleid van Amerikaanse geheime diensten creëert een zwarte markt voor beveiligingsgaten. Geheime diensten laten gaten bewust open en verzwakken systemen in de hoop mee te kunnen kijken met gebruikers. Beveiligingsonderzoekers kiezen er dan ook steeds vaker voor beveiligingsgaten niet aan het licht te brengen, maar juist te verkopen aan1