分析顯示,“INFRA:HALT”系列漏洞主要影響NicheStack 4.3之前的所有版本,包括NicheLite。全球大部分工業自動化企業使用NicheStack TCP/IP協議棧,受影響的設備廠商超過200家。
NicheStack,也稱為InterNiche Stack,是壹個面向嵌入式系統的第三方閉源TCP/IP協議棧組件。它旨在為工業設備提供互聯網接入,主要部署在制造工廠、發電、水處理和關鍵基礎設施領域的設備中。包括西門子、艾默生、霍尼韋爾、三菱電機、羅克韋爾自動化、施耐德電氣等產品,以及制造、發電、水處理等關鍵基礎設施領域的眾多操作技術(OT)設備。
“INFRA:HALT”包含14個安全漏洞。
“INFRA:HALT”系列漏洞主要包括遠程代碼執行、DoS、信息泄露、TCP欺騙等14漏洞,影響DNSv4、HTTP、TCP、ICMP等模塊,兩個漏洞的CVSS評分超過9。
CVE-2020-25928:該漏洞是在分析DNS響應時未檢查響應數據長度字段而導致的安全漏洞,可能導致OOB-R/W,是壹個遠程代碼執行漏洞,影響DNSv4模塊,CVSS評分為9.8。
CVE- 2021-31226:此漏洞是壹個堆緩存溢出漏洞,在分析HTTP POST請求時沒有進行大小驗證。這是壹個影響HTTP模塊的遠程代碼執行漏洞,CVSS得分為9.1。
CVE-2020-25767:該漏洞是在分析DNS域名時,未能檢查壓縮指針是否在數據包邊界內,可能導致OOB-R,最終導致DoS攻擊和信息泄露。漏洞CVSS得分為7.5分,它會影響DNSv4模塊。
CVE-2020-25927:該漏洞是在分析DNS響應時,沒有檢查報頭中的特定查詢或響應號是否與DNS包中的查詢或響應號壹致而導致的安全問題,可能導致DoS攻擊。CVSS得分是8.2。
CVE-2021-31227:該漏洞是在分析HTTP POST請求時,由於不正確的簽名整數比較導致的緩存溢出漏洞,可能導致DoS攻擊,影響HTTP模塊。CVSS得分是7.5。
CVE-2021-31400:當帶外緊急數據的結束指針指向TCP包外的數據時,TCP帶外緊急數據處理函數會調用壹個panic函數。如果panic函數不刪除trap調用,就會觸發無限循環,最終導致DoS攻擊。此漏洞會影響TCP模塊,CVSS得分為7.5。
CVE-2021-31401:TCP報頭處理代碼不處理IP(報頭+數據)的長度。如果攻擊者偽造壹個IP包,可能會造成整數溢出,因為IP數據的長度是用所有IP包的長度減去報頭的長度計算出來的。該漏洞會影響TCP模塊,CVSS得分為7.5。
CVE-2020-35683:處理ICMP數據包的代碼依賴於IP有效負載的大小來計算ICMP校驗和,但IP有效負載的大小是未經檢查的。當IP有效載荷大小的設定值小於IP報頭的設定值時,ICMP校驗和的計算函數可能會被越界讀取,從而導致DoS攻擊。此漏洞影響ICMP模塊,CVSS得分為7.5。
CVE- 2020-35684:處理TCP數據包的代碼根據IP有效負載的大小來計算TCP有效負載的長度。當IP有效載荷大小的設定值小於IP報頭的設定值時,ICMP校驗和的計算函數可能會被越界讀取,從而導致DoS攻擊。此漏洞會影響TCP模塊,CVSS得分為7.5。
CVE- 2020-3568:此漏洞是由於以可預測的方式生成TCP ISN造成的。此漏洞可能導致TCP欺騙並影響TCP模塊,CVSS得分為7.5。
CVE- 2021-27565:當收到未知的HTTP請求時,將會調用panic。該漏洞可能導致DoS攻擊,並且該漏洞影響HTTP模塊,CVSS得分為7.5。
CVE- 2021-36762:TFTP包處理程序無法保證文件名是否為非終止符,因此稍後調用strlen()可能會導致協議包緩存溢出和DoS攻擊。此漏洞影響TFTP模塊,CVSS得分為7.5。
CVE- 2020-25926:此漏洞是由DNS客戶端未設置足夠的隨機事務ID導致的,這可能導致DNS緩存中毒攻擊。漏洞影響DNSv4模塊,CVSS分值為4。
CVE- 2021-31228:攻擊者可以預測DNS查詢的源端口,因此他可以發送偽造的DNS請求包,供DNS客戶端接收,作為對請求的有效響應,這可能會觸發DNS緩存中毒攻擊。漏洞影響DNSv4模塊,CVSS分值為4。
受“INFRA:HALT”漏洞影響的工業控制制造商
根據對全網工控設備的分析,發現受“INFRA:HALT”系列漏洞影響最嚴重的國家是美國、加拿大、西班牙和瑞典。
西門子受影響的產品:
霍尼韋爾受影響產品:官方尚未發布該系列漏洞安全公告。
施耐德電氣目前尚未提供漏洞修復補丁,建議通過防火墻等安全措施減輕潛在的漏洞攻擊風險。
霍尼韋爾受影響產品:官方尚未發布該系列漏洞安全公告。
三菱受影響產品:官方尚未發布該系列漏洞安全公告。
利用INFRA:HALT系列漏洞
根據安全研究人員披露的壹份技術文件,關於“INFRA:HALT”系列漏洞有壹定程度的技術描述,但基於該系列漏洞的利用程序和POC並未公布。
分析表明,使用InterNiche協議棧組件的產品容易受到“INFRA:HALT”系列漏洞攻擊,受影響的服務主要是HTTP、FTP、TELNET和SSH。查詢Shodan發現有超過6400臺設備運行NicheStack協議棧。其中6360運行HTTP服務器,大部分運行FTP、SSH、Telnet等服務。這些設備可能會受到CVE-2020-25928和CVE-2021-31226漏洞的攻擊,導致設備被遠程控制。
安全研究員還發布了開源的檢測腳本,可以幫助檢測設備系統是否使用InterNiche協議棧及其版本信息。
到目前為止,HCC嵌入式公司已經準備好發布修復補丁。然而,在更新固件之前,攻擊者可能已經開始利用“INFRA:HALT”系列漏洞發起攻擊。因此,受影響的企業應盡快檢查和監控相關設備系統的使用情況,禁止相關設備開啟HTTP、FTP、TELNET、SSH等通用網絡服務,或使用防火墻等網絡安全產品過濾相關端口。
頂級形象確保工業安全
頂像是壹家以大規模風險實時計算技術為核心的業務安全公司,旨在幫助客戶構建自主可控的風險安全體系,實現業務的可持續增長。作為CNNVD(國家信息安全漏洞數據庫)和CICSVD(國家工業信息安全漏洞數據庫)的重要技術支持單位,狀元是由工信部、人力資源和社會保障部、團中央等12部門主辦的“2020全國工業互聯網安全技術技能大賽”的提案人和裁判,並獲得主辦方頒發的“傑出貢獻獎”榮譽稱號。
基於多年的安全技術研究和業務安全攻防實踐經驗,頂像推出了壹套工業安全智能防護系統,具備漏洞挖掘、未知威脅發現、風險預測與感知、威脅欺騙與誘捕、主動安全防禦等能力,為石油石化、能源電力、軌道交通、智能制造等工業領域提供覆蓋全生命周期的安全體系。
通過符號執行和汙點跟蹤分析,結合Top Image獨有的人工智能技術,實現了X86、X86_64、ARM、MIPS等主流架構的開源二進制文件漏洞挖掘,可以快速定位包括內存溢出、溢出在內的各類安全漏洞。通過自主研發的集成數萬個掃描插件的無創無損智能掃描系統,全面檢測和評估設備的完整性、脆弱性和安全性,提高設備的安全性、可靠性和穩定性。
、易損性和安全性,提高設備的安全性、可靠性和穩定性。