2018

06/26

09:08

来源:
国家工业信息安全产业发展联盟公众号

微信

新浪

天津市网信办关于金雅拓产品存在网络安全高危漏洞的风险提示

  2018年1月23日,卡巴斯基公司(Kaspersky)在其官网发布研究报告披露多款金雅拓Safenet软件许可服务产品存在安全漏洞(漏洞细节见附件),受影响的为使用Sentinel LDK RTE 7.6运行环境(含之前版本在内)的HASP SRM、Sentinel HASP、Sentinel LDK金雅拓Safenet产品。我国大量在用的工业控制系统,包括亚控、力控、西门子、ABB、通用电气等产品及部分信息系统均采用该软件许可服务并受到漏洞影响,影响范围非常广泛。现就具体情况通报如下:

  一、漏洞分析

  金雅拓Safenet软件许可服务产品广泛应用于工业控制系统和传统IT系统。该产品的软件部分包括驱动程序、Web应用程序和其他软件组件等,硬件部分包括USB令牌,USB令牌在首次连接主机时将自动安装驱动程序并开启1947端口。目前,安全研究人员发现金雅拓Safenet软件许可服务产品存在14个安全漏洞,攻击者通过开启的1947端口,可利用上述安全漏洞进行拒绝服务(DoS)攻击、中间人攻击和以系统权限执行任意代码等恶意攻击,造成信息泄露、系统崩溃等严重后果。

  二、对策建议

  (一)开展漏洞修复工作。目前,金雅拓官方已经发布补丁对漏洞进行修复,建议工业控制系统厂商及工业控制系统安全企业及时验证补丁可用性,各工业企业做好补丁离线测试和修复工作。

  (二)为了防止该漏洞被远程利用,各工业企业按照《工业控制系统信息安全防护指南》要求,开展工业控制系统及工控主机的安全防护工作。一是做好安全配置,定期进行配置审计;二是通过边界防护设备对工控网络与企业网或互联网的边界进行安全防护;三是强化登录账户及密码,避免弱口令;四是关闭不必要的HTTP、FTP、TELNET等高风险服务,如无必要,关闭设备的1947端口,确需远程访问的,使用虚拟专用网络(VPN)进行接入。

  漏洞列表及细节描述

 

 
序号 CVE编号 漏洞类型 漏洞等级 漏洞概述
1 CVE-2017-11496 远程执行代码漏洞 9.8 金雅拓管理控制中心的hasplms服务存在堆栈缓冲区溢出漏洞,允许远程攻击者通过发送V2C格式的畸形ASN.1流文件在目标系统执行任意代码。
2 CVE-2017-11497 远程执行代码漏洞 9.8 攻击者发送包含错误格式的文件包,从而导致堆栈缓冲区溢出,进而任意代码执行。
3 CVE-2017-11498 拒绝服务漏洞 7.5 远程攻击者可以用无效的HTML文件自行创建数据包文件,导致远程进程拒绝服务。
4 CVE-2017-12818 拒绝服务漏洞 7.5 攻击者可利用Sentinel HASP和Sentinel LDK产品中的自定义XML解析器堆栈溢出导致远程拒务。
5 CVE-2017-12819 NTLM哈希捕获漏洞 7.3 攻击者利用数据包更新程序,导致受影响产品中的系统用户受到NTLM中继攻击。
6 CVE-2017-12820 拒绝服务漏洞 7.5 攻击者可通过内存指针的任意内存读取功能引发系统远程拒绝服务。
7 CVE-2017-12821 远程执行代码漏洞 9.8 受影响产品中的内存损坏可能会导致攻击者执行远程执行代码操作。
8 CVE-2017-12822 使用配置文件进行远程操作漏洞 9.9 未经身份验证的攻击者可能能够利用漏洞在远程系统上打开新的攻击媒介。
 

  天津市网信办提示广大工业企业采取有效措施进行防控:及时分析预警信息,开展漏洞修复和工业控制系统及工控主机的安全防护工作,对可能演变为严重事件的情况,及时采取应对措施,避免出现网络安全事故。

天津市网信办关于金雅拓产品存在网络安全高危漏洞的风险提示

2018 09:08来源:国家工业信息安全产业发展联盟公众号

  2018年1月23日,卡巴斯基公司(Kaspersky)在其官网发布研究报告披露多款金雅拓Safenet软件许可服务产品存在安全漏洞(漏洞细节见附件),受影响的为使用Sentinel LDK RTE 7.6运行环境(含之前版本在内)的HASP SRM、Sentinel HASP、Sentinel LDK金雅拓Safenet产品。我国大量在用的工业控制系统,包括亚控、力控、西门子、ABB、通用电气等产品及部分信息系统均采用该软件许可服务并受到漏洞影响,影响范围非常广泛。现就具体情况通报如下:

  一、漏洞分析

  金雅拓Safenet软件许可服务产品广泛应用于工业控制系统和传统IT系统。该产品的软件部分包括驱动程序、Web应用程序和其他软件组件等,硬件部分包括USB令牌,USB令牌在首次连接主机时将自动安装驱动程序并开启1947端口。目前,安全研究人员发现金雅拓Safenet软件许可服务产品存在14个安全漏洞,攻击者通过开启的1947端口,可利用上述安全漏洞进行拒绝服务(DoS)攻击、中间人攻击和以系统权限执行任意代码等恶意攻击,造成信息泄露、系统崩溃等严重后果。

  二、对策建议

  (一)开展漏洞修复工作。目前,金雅拓官方已经发布补丁对漏洞进行修复,建议工业控制系统厂商及工业控制系统安全企业及时验证补丁可用性,各工业企业做好补丁离线测试和修复工作。

  (二)为了防止该漏洞被远程利用,各工业企业按照《工业控制系统信息安全防护指南》要求,开展工业控制系统及工控主机的安全防护工作。一是做好安全配置,定期进行配置审计;二是通过边界防护设备对工控网络与企业网或互联网的边界进行安全防护;三是强化登录账户及密码,避免弱口令;四是关闭不必要的HTTP、FTP、TELNET等高风险服务,如无必要,关闭设备的1947端口,确需远程访问的,使用虚拟专用网络(VPN)进行接入。

  漏洞列表及细节描述

 

 
序号 CVE编号 漏洞类型 漏洞等级 漏洞概述
1 CVE-2017-11496 远程执行代码漏洞 9.8 金雅拓管理控制中心的hasplms服务存在堆栈缓冲区溢出漏洞,允许远程攻击者通过发送V2C格式的畸形ASN.1流文件在目标系统执行任意代码。
2 CVE-2017-11497 远程执行代码漏洞 9.8 攻击者发送包含错误格式的文件包,从而导致堆栈缓冲区溢出,进而任意代码执行。
3 CVE-2017-11498 拒绝服务漏洞 7.5 远程攻击者可以用无效的HTML文件自行创建数据包文件,导致远程进程拒绝服务。
4 CVE-2017-12818 拒绝服务漏洞 7.5 攻击者可利用Sentinel HASP和Sentinel LDK产品中的自定义XML解析器堆栈溢出导致远程拒务。
5 CVE-2017-12819 NTLM哈希捕获漏洞 7.3 攻击者利用数据包更新程序,导致受影响产品中的系统用户受到NTLM中继攻击。
6 CVE-2017-12820 拒绝服务漏洞 7.5 攻击者可通过内存指针的任意内存读取功能引发系统远程拒绝服务。
7 CVE-2017-12821 远程执行代码漏洞 9.8 受影响产品中的内存损坏可能会导致攻击者执行远程执行代码操作。
8 CVE-2017-12822 使用配置文件进行远程操作漏洞 9.9 未经身份验证的攻击者可能能够利用漏洞在远程系统上打开新的攻击媒介。
 

  天津市网信办提示广大工业企业采取有效措施进行防控:及时分析预警信息,开展漏洞修复和工业控制系统及工控主机的安全防护工作,对可能演变为严重事件的情况,及时采取应对措施,避免出现网络安全事故。

为你推荐

国家计算机病毒应急处理中心监测发现十

近日在净网行动中,国家计算机病毒应急处理中心通过互联网监测发现,10款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及隐私窃取、恶意传播、资费消耗、系统破坏……

钓鱼邮件攻击防范指南

钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马……

关于华硕路由器存在跨站脚本攻击漏洞的

近日,国家信息安全漏洞共享平台CNVD收录了台湾华硕电脑股份有限公司开发的型号为RT-AC58U的路由器存在反射型跨站脚本攻击漏洞(CNVD编号:CNVD-2018-21251)。