Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Rockwell Automation-en produktuetan

Argitalpen data: 2018/04/18

Garrantzia: Kritikoa

Kaltetutako baliabideak:

Cisco IOS edo IOX XEren bertsio kaltetuak dituzten gailuak:

  • Kudeatutako Ethernet Allen-Bradley Stratix 8300 Industrial switchak, 15.2(4a)EA5 bertsioa eta lehenagokoak.
  • Allen-Bradley Stratix 5400 Industrial switchak, 15.2(6)E0a bertsioa eta lehenagokoak.
  • Allen-Bradley Stratix 5410 Industrial Distribution switchak, 15.2(6)E0a bertsioa eta lehenagokoak.
  • Kudeatutako Ethernet Allen-Bradley Stratix 5700 Industrial switchak, 15.2(6)E0a bertsioa eta lehenagokoak.
  • Kudeatutako Ethernet Allen-Bradley Stratix 8000 Modular switchak, 15.2(6)E0a bertsioa eta lehenagokoak.
  • Muturreko inguruneetarako kudeatutako Allen-Bradley ArmorStratix 5700 Industrial switch industrialak, 15.2(6)E0a eta lehenagoko bertsioak.
  • Allen-Bradley Stratix 5900 Services routerrak, 15.6.3M1 bertsioa eta lehenagokoak.

Azalpena:

Rockwell Automationek ahultasun horien berri eman dio NCCICi "Cisco IOS and IOS XE Software Security Advisory Bundled Publication" izeneko sei hileroko argitalpenaren bidez. Urruneko erasotzaile batek ahultasun mota hauek balia litzake: sarrera parametro baliogabeak, akatsen kudeaketa okerra, bufferraren memoriaren mugen barneko eragiketen murrizketa okerra edo eskuragarritasunaren galera lortzeko kanpotik kontrolatutako kateen formatua, memoriako baliabideak agortzeagatik sortutako konfidentzialtasuna edota integritatea, komunikazio moduluen berrabiatzea, informazioaren hondamena edota informazioaren agerpena.

Konponbidea:

Ciscok Snort arauak argitaratu ditu ondoko loturan:

https://www.cisco.com/web/software/286271056/117258/sf-rules-2018-03-29-new.html

Arau horiek ondoko kodeetara lotutako ahultasunak arintzen dituzte:

  • CVE-2018-0171 - 46096. eta 46097. Snort araua
  • CVE-2018-0156 - 41725. Snort araua
  • CVE-2018-0174 - 46120. Snort araua
  • CVE-2018-0172 - 46104. Snort araua
  • CVE-2018-0173 - 46119. Snort araua
  • CVE-2018-0158 - 46110. Snort araua

Ciscok ondoko ohartarazpenak gehitu dizkie ahultasunei (CVE-2018-0171 y CVE-2018-0156):

  • Smart Install funtzionaltasunaren konfigurazioa espresuki dator desgaituta. Nolanahi ere, switchen eguneraketak aukera hori gaitu lezake, ez ordea berriz instalatzeak.
  • Smart Install funtzionaltasuna desgaitzea "no vstack" konfigurazio komandoarekin, beharrezkoa ez bada edo instalazioa egin ondoren.
  • Smart Install funtzionaltasuna erabiltzen duten (eta desgaituta utzi beharra duten) erabiltzaileek ACLak erabil ditzakete 4786/tcp atakara sartzen den trafikoa blokeatzeko.

CVE-2018-0155: Beren inguruneetan BFD funtzionaltasuna erabiltzen ez duten administratzaileek funtzionaltasun hori desgai dezakete dagokion "bfd" komandoarekin, ahultasuna baliatu ahal izatea saihestearren.

Bestalde, funtzionaltasun hori erabiltzen duten administratzaileek kontrol politikak (CoPP) jar ditzakete abian, soilik BFD pakete ezagunen prozesamendua baimentzeko eta kaltetutako produktuaren arriskua mugatzeko.

CVE-2018-0167 eta CVE-2018-0175 kodeei lotutako ahultasunek ez daukate arintze modu berezirik. Informazio gehiagorako, fabrikatzailearen ondoko lotura bisitatzea gomendatzen da:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-lldp

Bestalde, Rockwell Automation fabrikatzaileak segurtasuneko ondoko neurri prebentiboak eta praktika onak jarraitzea gomendatzen du:

  • Kontrol gailu edota sistema guztien arriskua murrizten laguntzearren, suebakien atzean kokatzea gomendatzen da, eta gailuek edota sistemek Interneterako sarbiderik ez dutela egiaztatzea.
  • Kontrol sareak eta gailu industrialak sare korporatiboetatik bereiztea.

Urruneko sarbidea beharrezkoa denean, Virtual Private Networks (VPN) moduko segurtasun mekanismoak erabiltzea.

Xehetasuna:

  • Sarrera datuen balioztatze ezegokia: Cisco IOS eta Cisco IOS XE Softwarearen Smart Install funtzionaltasunak duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek kaltetutako gailua berrabiatzea eragin lezake. Horren ondorioz kaltetutako gailuan zerbitzuaren ukapen egoera (DoS) sortuko litzateke edo kode arbitrarioa exekuta liteke. Ahultasunaren arrazoia da paketeko datuen egiaztapen okerra. Erasotzaile batek ahultasun hori balia lezake Smart Installen mezu pakete bat bidaliz TCP 4786 atakan kaltetutako gailu batera. Eraso arrakastatsu baten ondorioz erasotzaileak bufferraren gainezkatzea eragin lezake kaltetutako gailuan. Larritasun kritikoko ahultasun horretarako CVE-2018-0171 identifikatzailea erabili da.
  • Sarrera datuen balioztatze ezegokia: Cisco IOS eta Cisco IOS XE Softwarearen Smart Install funtzionaltasunak duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek kaltetutako gailua berrabiatzea eragin lezake. Horren ondorioz kaltetutako gailuan zerbitzuaren ukapen egoera (DoS) sortuko litzateke. Ahultasunaren arrazoia da paketeko datuen egiaztapen okerra. Erasotzaile batek ahultasun hori balia lezake pakete bat bidaliz TCP 4786 atakan kaltetutako gailu batera. Larritasun kritikoko ahultasun horretarako CVE-2018-0156 identifikatzailea erabili da.
  • Sarrera datuen balioztatze ezegokia: Cisco IOS eta Cisco IOS XE softwarearen DHCP enkapsulazio funtzionaltasunaren 82. aukerak duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek kaltetutako gailua berrabiatzea eragin lezake. Horren ondorioz zerbitzuaren ukapen egoera (DoS) sortuko litzateke. Ahultasun hau gertatzen da birtransmisio agenteen aldetik DHCP 4. Bertsioaren (DHCPv4) paketeetatik jasotzen duen sarreraren egiaztatze osatugabea egiten duelako kaltetutako softwareak. Erasotzaile batek ahultasun hori balia lezake DHCPv4 pakete bat bidaliz kaltetutako gailu batera. Eraso arrakastatsu bat izanez gero, erasotzaileak gailua berrabiatzea eragin lezake, eta horren ondorioz zerbitzuaren ukapen egoera sortu (DoS). Larritasun kritikoko ahultasun horretarako CVE-2018-0174 identifikatzailea erabili da.
  • Sarrera datuen balioztatze ezegokia: Cisco IOS eta Cisco IOS XE softwarearen DHCP enkapsulazio funtzionaltasunaren 82. aukerak duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek kaltetutako gailua berrabiatzea eragin lezake. Horren ondorioz zerbitzuaren ukapen egoera (DoS) sortuko litzateke. Ahultasun hau gertatzen da birtransmisio agenteen aldetik DHCP 4. Bertsioaren (DHCPv4) paketeetatik jasotzen duen sarreraren egiaztatze osatugabea egiten duelako kaltetutako softwareak. Erasotzaile batek ahultasun hori balia lezake DHCPv4 pakete bat bidaliz kaltetutako gailu batera. Eraso arrakastatsu bat izanez gero, erasotzaileak heap-en gainezkatzea eragin lezake, eta horren ondorioz zerbitzuaren ukapen egoera sortu (DoS). Larritasun kritikoko ahultasun horretarako CVE-2018-0172 identifikatzailea erabili da.
  • Sarrera datuen balioztatze ezegokia: Cisco IOS eta Cisco IOS XE softwareak duen ahultasun bat baliatuz, DHCP 4. Bertsioaren (DHCPv4) paketeen enkapsulazioaren 82. aukera berrezartzen duena, autentifikatu gabeko urruneko erasotzaile batek kaltetutako gailua berrabiatzea eragin lezake. Horren ondorioz zerbitzuaren ukapen egoera (DoS) sortuko litzateke. Ahultasun hau gertatzen da kaltetutako softwareak DCHPv4 zerbitzarietatik datozen DHCPOFFER mezuen 82. enkapsulazio aukeraren informazioarekin jasotzen duen sarreraren egiaztapen osagabea ezartzen duelako. Erasotzaile batek ahultasun hori balia lezake DHCPv4 pakete bat bidaliz kaltetutako gailura, ondoren gailu horrek DHCPv4 zerbitzari batera birbidal dezan. Zerbitzariaren erantzunean enkapsulaturik dagoen 82. aukerarekin prozesatzen duenean informazioa kaltetutako softwareak, akats bat gerta liteke. Eraso arrakastatsu bat izanez gero, erasotzaileak gailua berrabiatzea eragin lezake, eta horren ondorioz zerbitzuaren ukapen egoera sortu (DoS). Larritasun kritikoko ahultasun horretarako CVE-2018-0173 identifikatzailea erabili da.
  • Sarrera datuen balioztatze ezegokia: Cisco IOs eta Cisco IOS XE softwareak Internet Key Exchange Versión 2 (IKEv2) moduluan duen ahultasun bat baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek memoria galtzea edo kaltetutako gailua berrabiatzea eragin lezake, zerbitzuaren ukapen egoera sortuz (DoS). Ahultasun hau gertatzen da IKEv2 pakete batzuen prozesamendu oker batengatik. Erasotzaile batek ahultasun hori balia lezake IKEv2 pakete bat bidaliz kaltetutako gailu batera, prozesatuak izan daitezen. Eraso arrakastatsu bat izanez gero, kaltetutako gailuak memoria iraunkorki kontsumi dezan eragin liteke eta batzuetan berrabiatzeak gertatzea, eta horren ondorioz zerbitzuaren ukapen egoera sor liteke (DoS). Larritasun kritikoko ahultasun horretarako CVE-2018-0158 identifikatzailea erabili da.
  • Eragiketen murrizketa okerra bufferraren memoriaren mugen barnean: Cisco IOS, Cisco IOS XE eta Cisco IOS XR softwarearen LLDP azpisistemak duen bufferraren gainezkatzearen ahultasun bat baliatuz, autentifikaziorik gabeko alboko erasotzaile batek zerbitzuaren ukapen egoera eragin lezake (DoS) edo altxatutako pribilegioekin kode arbitrarioa exekutatu. Larritasun kritikoko ahultasun horretarako CVE-2018-0167 identifikatzailea erabili da.
  • Kanpoko iturrietatik datozen katea erako (string) parametroen erabilera okerra: Cisco IOS Software eta Cisco IOS XR Softwarearen LLDP azpisistemaren barnean kateak erabiltzeko moduak duen ahultasun bat baliatuz, alboko sare batera konektatutako erasotzaile batek, autentifikatuta egon behar izan gabe, Zerbitzuaren Ukapena eragin lezake edo altxatutako pribilegioekin kode arbitrarioa exekutatu. Larritasun altuko ahultasun horretarako CVE-2018-0175 identifikatzailea erabili da.
  • Memoriaren bufferraren mugetan eragiketen murrizketa ezegokia: Cisco IOS Software eta Cisco IOS XR Softwarearen LLDP azpisistemak duen bufferraren gainezkatze erako ahultasun bat baliatuz, alboko sare batera konektatutako erasotzaile batek, autentifikatuta egon behar izan gabe, Zerbitzuaren Ukapena eragin lezake edo altxatutako pribilegioekin kode arbitrarioa exekutatu. Larritasun altuko ahultasun horretarako CVE-2018-0167 identifikatzailea erabili da.
  • Ahultasuna akatsen erabilera eta kudeaketan (PK-ERRORS): Akatsak kudeatzeko moduan ahultasun bat dago BFD (Bidirectional Forwarding Detectio) protokoloaren goiburu bat osagabe dagoenean BFD pakete horren barnean. Urruneko erasotzaile batek, autentifikazioaren beharrik gabe, bereziki gaizki sortutako BFDF paketeak bidal litzake kaltetutako Switchean zehar, Zerbitzuaren Ukapena eraginez sistemaren nahitaezko berrabiatze batengatik. Larritasun altuko ahultasun horretarako CVE-2018-0155 identifikatzailea erabili da.
  • Eragiketen murrizketa okerra bufferraren memoriaren mugen barnean: Cisco IOS eta Cisco IOS XEren zerbitzuaren kalitatearen azpisistemak (QoS) duen ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek zerbitzuaren ukapena (DoS) eragin lezake edo kode arbitrarioa exekutatu pribilegio gorenekin. Ahultasuna gertatzen da modu okerrean egiaztatzen direlako kaltetutako gailuaren 18999/udp atakara zuzenduta dauden paketeetako hainbat balio. Erasotzaile batek ahultasun hori balia lezake pakete gaiztoak bidaltzeko eta horiek prozesatzean bufferraren gainezkatze egoera gerta liteke. Ahultasun hau arrakastaz baliatuz gero, erasotzaileak kaltetutako gailuan kode arbitrarioa exekuta lezake pribilegio gorenekin. Era berean, erasotzaileak ahultasun hori balia lezake gailuak 'reload' eragiketa bat egin dezan. Ondorioz, epe baterako zerbitzuaren ukapen egoera sortuko litzateke, gailua berrabiatzen den bitartean. Larritasun kritikoko ahultasun horretarako CVE-2018-0151 identifikatzailea erabili da.

Ohartarazpen honetan azaldutako ahultasunetarako ondoko identifikatzaileak erreserbatu dira:

Rockwell Automation Stratix Industrial Managed Ethernet Switch: CVE-2018-0171, CVE-2018-0156, CVE-2018-0155, CVE-2018-0174, CVE-2018-0173, CVE-2018-0167, CVE-2018-0175

Rockwell Automation Stratix and ArmorStratix Switches: CVE-2018-0171, CVE-2018-0156, CVE-2018-0174, CVE-2018-0172, CVE-2018-0173, CVE-2018-0158, CVE-2018-0167, CVE-2018-0175

Rockwell Automation Stratix Services Router: CVE-2018-0158, CVE-2018-0151, CVE-2018-0167, CVE-2018-0175

Etiketak: Eguneraketa, Cisco, Sistema Eragilea, Ahultasuna