كاسبرسكي لاب تكتشف ثغرات أمنية في نظام واسع الانتشار لإدارة التراخيص المؤسسية

عثر باحثون يعملون في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب Kaspersky Lab ICS CERT على مجموعة من الثغرات الخطرة في نظام إدارة التراخيص عبر أجهزة منع قرصنة البرمجيات HASP، المستخدمة على نطاق واسع في البيئات المؤسسية ونظم الرقابة الصناعية لتفعيل البرمجيات المرخصة. وقد يصل عدد النظم المتأثرة بالثغرة إلى مئات الآلاف، أو أكثر، في جميع أنحاء العالم.

وتستخدم الأجهزة المشكوك بها، والتي هي عبارة عن قطع تعريف أمني تتصل بالنظم المؤسسية عبر منافذ USB (الناقل التسلسلي العالمي)، في مختلف الشركات والمؤسسات على نطاق واسع لغرض تفعيل تراخيص البرمجيات بطريقة ملائمة؛ إذ يحتاج مسؤول إدارة النظام التقنية في الشركة، بحسب سيناريو الاستخدام العادي، إلى إدخال قطعة التعريف الأمني في منفذ USB الموجود في الحاسوب المشتمل على التطبيق البرمجي الذي يحتاج إلى تفعيله، وبذلك يتأكد للنظام أن البرمجية أصلية وليست مقرصنة، فيقوم بتفعيلها، وبالتالي يستطيع المستخدم للحاسوب أو الجهاز الخادم استخدامها.

وبمجرد إدخال قطعة التعريف الأمني في الجهاز للمرة الأولى، يقوم نظام التشغيل "ويندوز" بتنزيل برمجية التشغيل Driver الخاصة بها من خوادم المورد من أجل جعل القطعة تعمل بشكل صحيح مع الحاسوب الذي تم وصلها فيه. وتأتي برمجية التشغيل في حالات أخرى عبر طرف آخر يستخدم النظام المذكور أعلاه لحماية التراخيص. وقد وجد خبراء كاسبرسكي لاب أن برمجية التشغيل هذه تضيف المنفذ رقم 1947 من الحاسوب، عند التثبيت، إلى قائمة الاستثناءات من جدار الحماية الخاص بالنظام "ويندوز"، ومن دون إشعار المستخدم بطريقة ملائمة، ما يجعله النظام عُرضة لهجوم عن بعد.

ولن يكون المهاجم بحاجة إلى أكثر من إجراء مسح للشبكة المستهدفة بحثاً عن أي منفذ مفتوح حتى يجد المنفذ 1947 ويحدد جهاز الحاسوب المتاح لشنّ هجوم عن بعد. لكن الأهم من ذلك، أن المنفذ يبقى مفتوحاً حتى بعد أن تتم إزالة قطعة التعريف، وهذا هو السبب في أن المهاجم، حتى في بيئات مؤسسية محمية ومدعّمة، لا يحتاج إلى أكثر من تثبيت برمجية تستخدم حل HASP، أو وصل القطعة بجهاز الحاسوب مرة واحدة فقط (حتى لو كان الجهاز مقفلاً) من أجل جعله النظام متاحاً للهجمات التي يمكن شنّها عن بعد.

وقد استطاع الباحثون أن يحددوا 14 ثغرة في أحد مكونات الحل البرمجي، شملت ثغرات متعددة لشنّ هجمات الحرمان من الخدمة DoS، والعديد من عمليات التنفيذ الاعتباطي لشيفرات برمجية RCEs والتي يجري استغلالها تلقائياً لا من خلال حقوق المستخدم، ولكن عبر أكثر حقوق النظام تميزاً، وهذا الأمر يتيح للمهاجمين فرصة التنفيذ الاعتباطي لأي أمر أو شيفرة برمجية على النظام. ويمكن أن تكون جميع الثغرات التي تم تحديدها خطرة وتؤدي إلى حدوث خسائر كبيرة لدى الشركات.

وقد جرى إبلاغ الشركة المنتجة بجميع المعلومات التي توصل إليها الباحثون، فيما أُعطيت الثغرات المكتشفة أرقام CVE التالية الخاصة بالثغرات الشائعة:

CVE-2017-11496 – Remote Code Execution لتنفيذ الأوامر البرمجية عن بُعد.
CVE-2017-11497 – Remote Code Execution لتنفيذ الأوامر البرمجية عن بُعد.
CVE-2017-11498 – Denial of Service لشن هجوم حرمان من الخدمة.
CVE-2017-12818 – Denial of Service لشن هجوم حرمان من الخدمة.
CVE-2017-12819 – NTLM hash capturing .
CVE-2017-12820 – Denial of Service لشن هجوم حرمان من الخدمة.
CVE-2017-12821 – Remote Code Execution لتنفيذ الأوامر البرمجية عن بُعد.
CVE-2017- 12822 – Remote manipulations with configuration files للتلاعب بملفات الإعدادات عن بُعد.

وقال ڤلاديمير داشنكو، رئيس مجموعة الأبحاث المتعلقة بالثغرات في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب، إن حجم العواقب المحتملة في حال وقوع حوادث تستغل هذه الثغرات "كبير للغاية" بالنظر إلى مدى الانتشار الواسع لنظام إدارة التراخيص هذا، ولكون استخدام قطع التعريف الأمني هذه لا يقتصر على بيئات العمل بالشركات العادية، وإنما يمتدّ إلى المنشآت ذات الطبيعة الحرجة التي تفرض على المستخدمين قواعد صارمة للنفاذ إلى أنظمتها عن بُعد، وأضاف: "يمكن بسهولة اختراق النظم التقنية في هذه المنشآت عبر الطريقة التي اكتشفناها والتي تضع الشبكات في بيئات العمل الخطرة في خطر شديد".

وقامت كاسبرسكي لاب فور اكتشاف تلك الثغرات الأمنية برفع تقارير مختصة إلى الشركات المنتجة ذات العلاقة. وقد أصدرت هذه الشركات الرقع البرمجية الأمنية المطلوبة بالاستناد على ما تمّ اكتشافه.

ويوصي فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي لاب بشدة مستخدمي المنتجات المتأثرة، بالقيام بما يلي:

المسارعة إلى تثبيت أحدث إصدار آمن من برمجية التشغيل، أو الاتصال بالبائع للحصول على الإرشادات بشأن تحديثها.

إغلاق المنفذ 1947، على الأقل في نظام جدار الحماية الخارجي (الواقع على محيط الشبكة)، ولكن فقط طالما أن هذا الإجراء لا يتعارض مع العمليات التجارية.