Egy licenckezelő hibája sodorhat veszélybe ipari rendszereket

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A CVE-2024-2658 néven nyomot követett sérülékenység rávilágít arra, hogy egy első ránézésre mellékesnek tűnő komponens is komoly kiberbiztonsági kockázatokat rejthet magában. Az említett sérülékenység a Flexera FlexNet Publisher licenskezelő komponensét érinti, és több Schneider Electric megoldásban is fontos szerepet játszik. A Schneider értesítése alapján a sebezhetőség az EcoStruxure Control Expert, az EcoStruxure Process Expert és az EcoStruxure Process Expert for AVEVA System Platform termékeket is érinti.

A sérülékenység lényege, hogy a FlexNet Publisher lmadmin[.]exe komponense bizonyos verziói nem megfelelően kezelik az OpenSSL-konfiguráció betöltését. Az NVD leírása szerint a sérülékenység a 11.19.6.0. előtti FlexNet Publisher verzióit érinti, és jelen esetben abból fakad, hogy a szoftver egy nem létező könyvtárból is megpróbálhat OpenSSL-konfigurációs fájlokat betölteni. A CVE hivatalos bejegyzése szerint egy alacsony jogosultságú, helyileg hitelesített felhasználó képes lehet speciálisan előkészített konfigurációs fájl és DLL segítségével magasabb jogosultságú kódfuttatást elérni.

Azért is különösen fontos ebben az esetben az ipari kockázatokra helyezni a hangsúlyt, mert a Schneider-nél érintett szoftver olyan környezetekben fordulhat elő, ahol PLC-programozáshoz, HMI- vagy SCADA-rendszerekhez kapcsolódó szoftverlicenceket kezelnek. A probléma nem közvetlenül egy vezérlőberendezésben vagy termelési folyamatban jelenik meg, de ettől függetlenül is kulcsszerepet játszhat az ipari rendszerek üzemeltetésében. A kockázatot növeli, hogy a licenckezelő Windows-környezetben szolgáltatásként fut, és a folyamat bizonyos konfigurációk mellett további jogosultságeszkalációra is felhasználható. A Kaspersky elemzése szerint megfelelő feltételek esetén a támadási lánc akár NT AUTHORITY\SYSTEM szintű jogosultság megszerzéséig is elvezethet. Ez a gyakorlatban azt jelenti, hogy a támadó kontrollt szerezhet az adott gép felett, hozzáférhet helyi konfigurációkhoz, érzékeny adatokhoz, hitelesítő információkhoz, és kedvező hálózati környezetben oldalirányú mozgásra is lehetősége nyílhat.

(Példa egy rosszindulatú openssl[.]cnf fájlra. Forrás: securelink.com)

Ipari rendszereknél ez azért különösen veszélyes, mert a mérnöki munkaállomások, licenckiszolgálók és karbantartási gépek gyakran összekötő szerepet töltenek be az IT- és OT-környezet között. Egy licenckiszolgáló kompromittálása nem feltétlenül állítja le azonnal a termelést, de megzavarhatja a mérnöki szoftverek elérhetőségét, késleltetheti a karbantartást, és további támadások kiindulópontjává válhat. Ezért is javasolt a Schneider Electric-környezetekben ellenőrizni az érintett EcoStruxure-termékeket és azok verzióit is, melyek közül a sérülékenységgel érintett termékcsaládokat az alábbi linken listázta a gyártó. Ha a komponens használata szükséges, érdemes dedikált, szigorúan kontrollált hozzáférésű szerveren futtatni, korlátozni az alacsony jogosultságú felhasználók írási lehetőségeit a kritikus könyvtárakban, valamint frissíteni a Schneider Electric FLM-et 3.0.0.0 vagy újabb verzióra.

(forrás)