09 февраля 2021

Классический набор: уязвимости веб-консоли и сторонних компонентов в шлюзах Pepperl+Fuchs IO-Link-Master

Центр CERT@VDE опубликовал информационное сообщение о нескольких уязвимостях в семействе устройств Pepperl+Fuchs Comtrol IO-Link Master, подготовленное на основе анализа, выполненного T.Weber из компании SEC Consult. По оценке CERT@VDE, уязвимости имеют уровень опасности от среднего (Medium — 6,6) до высокого (High — 8,8) по шкале CVSS v3.1.

Серия устройств Pepperl+Fuchs Comtrol IO-Link-Master — это семейство коммуникационных шлюзов для подключения устройств EtherNet/IP, Modbus TCP и Profinet IO. Данные шлюзы предназначены для применения в промышленных системах. Среди них имеются защищенные модели, предназначенные для использования в агрессивной среде.

Уязвимости найдены в нескольких устройствах IO-Link Master 4 и IO-Link Master 8 с прошивкой версии 1.5.48 и более ранних. Полный список уязвимых устройств можно найти в информационном сообщении CERT@VDE.

Первые три уязвимости связаны с недостатками веб-интерфейса конфигурирования устройства. Уязвимость CVE-2020-12511 (8,8 баллов по шкале CVSS v3.1) позволяет осуществить атаку, основанную на подделке межсайтовых запросов (cross-site request forgery), чтобы обманным путём заставить жертву изменить настройки продукта. CVE-2020-12512 (7,5 баллов по шкале CVSS v3.1) — уязвимость отраженного межсайтового скриптинга (reflected cross-site scripting) в веб-сервисе, позволяющая злоумышленнику украсть файлы куки у прошедшего аутентификацию пользователя, что позволяет войти в систему или совершать действия в контексте пользователя. Уязвимость находится в конечной точке «/Software» веб-сервиса. Последняя уязвимость из трех — CVE-2020-12513 (7,5 баллов по шкале CVSS v3.1) — связана с отсутствием проверки и экранирования вводимых пользователем данных (user input sanitization), в результате чего данные, вводимые пользователем в веб-интерфейсе, могут выполняться как команды путем вызова метода «exec()» в контексте пользователя root. Все три уязвимости — классика перечня OWASP Top 10. В отношении устройств, используемых в изолированных сетевых средах за демилитаризованной зоной, реальные риски, связанные с выполнением соответствующих атак, будут гораздо ниже чем для устройств, открытых для доступа через интернет. Использование межсетевых экранов и строгая политика в отношении использования устройств, с которых производится конфигурирование, могут послужить достаточными компенсационными мерами для угроз, связанных с этими уязвимостями.

Не до конца ясно, можно ли сказать то же самое об уязвимости CVE-2020-12514 (6,6 баллов по шкале CVSS v3.1). Демон обнаружения («discoveryd») — служба, запускаемая в процессе загрузки системы. Данная служба требуется программе управления сетью «PortVision DX». Демон содержит небезопасную функцию и уязвим для DoS-атак, которые приводят к аварийному завершению работы программы из-за разыменования нулевого указателя (NULL pointer dereference).

В перечень включены также две давно известные уязвимости CVE-2018-20679 и CVE-2018-0732 (обе с рейтингом 7,5 по шкале CVSS v3.1). Первая из них, связанная с чтением за пределами массива данных, — в утилите BusyBox, которая позиционируется авторами как универсальный набор инструментов для встроенных систем Linux (The Swiss Army Knife of Embedded Linux). Вероятнее всего, ее эксплуатация может привести к отказу в обслуживании. Вторая — в пакете OpenSSL, может также использоваться для отказа в обслуживании удаленным нарушителем через передачу излишне длинного простого числа в качестве параметра для алгоритма Диффи-Хеллмана. Как и для первых трех уязвимостей, можно с определенностью утверждать, что эксплуатация уязвимостей в ограниченной среде маловероятна. Однако их достаточно легко исправить, что и следует сделать при помощи выпущенного производителем обновления для устройств.

Для исправления уязвимостей производитель рекомендует установить на уязвимые модули следующие пакеты:

  • Системный загрузчик U-Boot версии 1.36 или более поздней,
  • Образ системы версии 1.52 или более поздней,
  • База приложений версии 1.6.11 или более поздней.

Информационное сообщение также содержит рекомендацию принять следующие стандартные меры по обеспечению безопасности, если устройства доступны из сетей общего пользования:

  • Использование межсетевого экрана для фильтрации трафика из недоверенных сетей. В особенности это касается входящего трафика веб-страницы администрирования.
  • Использование надежных паролей для защиты каждой из трех встроенных в устройство учетных записей, если в сети, к которой подключено устройство, есть недоверенные пользователи и/или приложения.

Информация об уязвимостях опубликована 4 января 2021

Источник: CERT@VDE

Авторы
  • Марсель Штрекер

    Старший аналитик по информационной безопасности, Kaspersky ICS CERT