信息來源:cnbeta
社會(huì)對(duì)技術(shù)的依賴程度非常高��,預(yù)計(jì)到2025年��,全球使用的互聯(lián)網(wǎng)連接設(shè)備數(shù)量將增長(zhǎng)到559億臺(tái)�。這些設(shè)備中的許多設(shè)備涵蓋了工業(yè)控制系統(tǒng)(ICS)的各個(gè)部分,它們影響著世界�,協(xié)助我們?cè)诩抑械娜粘I睿⒈O(jiān)控和自動(dòng)化生產(chǎn)工作中從能源使用到機(jī)器維護(hù)的一切�。濫用這些系統(tǒng)的潛力已經(jīng)引起了網(wǎng)絡(luò)犯罪分子的注意;根據(jù)2020年IBM X-Force威脅情報(bào)指數(shù)��,自2018年以來���,針對(duì)這些系統(tǒng)的攻擊增加了2000%以上���。
作為持續(xù)研究的一部分,IBM的黑客團(tuán)隊(duì)X-Force Red發(fā)現(xiàn)了一個(gè)新的物聯(lián)網(wǎng)漏洞����,可以被遠(yuǎn)程利用。制造商泰雷茲自2020年2月起向客戶提供了CVE-2020-15858的補(bǔ)丁�����,X-Force Red一直在合作�����,以確保用戶了解該補(bǔ)丁����,并采取措施保護(hù)他們的系統(tǒng)。
在今天使用的數(shù)十億智能設(shè)備中�����,泰雷茲是使它們能夠連接到互聯(lián)網(wǎng)����、安全存儲(chǔ)信息和驗(yàn)證身份的組件的供應(yīng)商之一。泰雷茲的整個(gè)產(chǎn)品組合每年連接超過30億個(gè)設(shè)備,從智能能源表到醫(yī)療監(jiān)控設(shè)備和汽車�,有超過3萬家機(jī)構(gòu)依賴其解決方案。
然而��,在2019年9月��,X-Force Red發(fā)現(xiàn)了泰雷茲(原金雅拓)的Cinterion EHS8 M2M模塊中的一個(gè)漏洞�����,該模塊在過去十年中被用于數(shù)百萬個(gè)互聯(lián)網(wǎng)連接設(shè)備����。經(jīng)過進(jìn)一步的測(cè)試,泰雷茲確認(rèn)該漏洞會(huì)影響到EHS8同一產(chǎn)品線中的其他模塊(BGS5��、EHS5/6/8��、PDS5/6/8�����、ELS61�����、ELS81、PLS62)�����,進(jìn)一步擴(kuò)大了該漏洞的潛在影響�����。這些模塊是實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備移動(dòng)通信的微型電路板���。
更重要的是,它們存儲(chǔ)和運(yùn)行的Java代碼通常包含密碼�、加密密鑰和證書等機(jī)密信息。利用從模塊中竊取的信息�����,惡意行為者有可能控制設(shè)備或獲得中央控制網(wǎng)絡(luò)的訪問權(quán)�,從而進(jìn)行廣泛的攻擊--在某些情況下甚至可以通過3G遠(yuǎn)程攻擊。利用這個(gè)漏洞���,攻擊者有可能指示智能電表打掉一個(gè)城市的電力�����,甚至給醫(yī)療病人注射過量的藥物����,只要負(fù)責(zé)這些關(guān)鍵功能的設(shè)備使用的是一個(gè)暴露在攻擊者面前的未打補(bǔ)丁的模塊,例如�,通過這個(gè)模塊啟用的3G/4G連接。
關(guān)于該漏洞
EHS8模塊及其系列中的其他模塊���,旨在通過3G/4G網(wǎng)絡(luò)實(shí)現(xiàn)連接設(shè)備之間的安全通信��。將該模塊視為相當(dāng)于一個(gè)值得信賴的數(shù)字鎖箱���,公司可以在其中安全地存儲(chǔ)密碼、憑證和操作代碼等一系列秘密����。這個(gè)漏洞破壞了這一功能,允許攻擊者竊取組織機(jī)密�。
X-Force Red發(fā)現(xiàn)了一種繞過安全檢查的方法,這種檢查可以使文件或操作代碼對(duì)未經(jīng)授權(quán)的用戶隱藏起來���。這個(gè)漏洞可能使攻擊者能夠入侵?jǐn)?shù)百萬臺(tái)設(shè)備�����,并通過轉(zhuǎn)入提供商的后端網(wǎng)絡(luò)來訪問支持這些設(shè)備的網(wǎng)絡(luò)或VPN����。反過來,知識(shí)產(chǎn)權(quán)(IP)����、憑證、密碼��、加密密鑰都可能被攻擊者輕易獲得�。換句話說���,模塊存儲(chǔ)的機(jī)密信息可能不再是機(jī)密�����。攻擊者甚至可以搶奪應(yīng)用程序代碼����,徹底改變邏輯����,操縱設(shè)備���。
潛在的影響是什么?
這個(gè)漏洞的潛在影響根據(jù)攻擊者可能入侵使用這一行模塊的哪些設(shè)備而有所不同����。據(jù)了解,全球有數(shù)百萬臺(tái)設(shè)備使用該模塊�,橫跨汽車、醫(yī)療����、能源和電信行業(yè)。
鑒于其中許多設(shè)備的關(guān)鍵性���,有針對(duì)性的網(wǎng)絡(luò)攻擊可能會(huì)很重要����。以下是一些例子���,說明如果在各種類型的設(shè)備中暴露出未打補(bǔ)丁的模塊�,攻擊者可能會(huì)做什么��。
醫(yī)療設(shè)備: 操縱監(jiān)測(cè)設(shè)備的讀數(shù)來掩蓋生命體征或制造虛假恐慌 在根據(jù)輸入提供治療的設(shè)備中��,如胰島素泵,網(wǎng)絡(luò)犯罪分子可能會(huì)使患者用藥過量或不足��。
能源和公用事業(yè)���。篡改智能電表�����,提供偽造的讀數(shù)�����,增加或減少每月的賬單。通過控制網(wǎng)絡(luò)訪問一大群這些設(shè)備����,惡意行為者還可以關(guān)閉整個(gè)城市的電表,造成大范圍的停電�����,需要進(jìn)行單獨(dú)維修���,甚至更糟糕的是�,破壞電網(wǎng)本身。
技術(shù)細(xì)節(jié)
EHS8模塊與該系列的其他模塊一樣�����,由一個(gè)微處理器組成���,內(nèi)嵌Java ME解釋器和閃存����,以及GSM�、GPIO、ADC��、數(shù)字和模擬音頻��、GPS����、I2C、SPI和USB接口�。它還提供了更高層次的通信堆棧,如PPP和IP�。嵌入式Java環(huán)境允許安裝Java "midlet",以提供可定制的功能和與主機(jī)設(shè)備的交互,和/或作為主邏輯���。該模塊在基本的OEM集成商層面上運(yùn)行時(shí)�,其行為很像傳統(tǒng)的 "Hayes"調(diào)制解調(diào)器�����。這意味著����,除了加載到系統(tǒng)中的Java應(yīng)用程序外,還可以通過內(nèi)置在電路中的物理UART連接使用 "AT "串行命令進(jìn)行控制�����。
在安全研究實(shí)踐中����,Java應(yīng)用程序可以被繞過�,并將控制權(quán)交還給低層,允許攻擊者直接控制模塊����。一旦控制了AT命令接口,就可以發(fā)出大量的標(biāo)準(zhǔn)命令,如 "ATD"--撥號(hào)���,或 "ATI"--顯示制造商信息��。還有一些配置命令和用于訪問覆蓋在閃存上的基本文件系統(tǒng)的特定命令子集--"AT^SFA"����。這提供了文件和子目錄的讀�、寫、刪除和重命名���。
為了方便Java環(huán)境����,還有一些與Java相關(guān)的命令����,其中一個(gè)命令是 "安裝 "先前上傳到閃存文件系統(tǒng)的Java midlet。這可以有效地將Java代碼復(fù)制到閃存文件系統(tǒng)中的 "安全存儲(chǔ) "中�����,理論上是 "只寫 "的--即數(shù)據(jù)可以復(fù)制到該存儲(chǔ)中�����,但永遠(yuǎn)不會(huì)被讀回。這樣一來�����,OEM廠商包含其IP的私有Java代碼�����,以及任何安全相關(guān)的文件�,如PKI密鑰或證書和應(yīng)用相關(guān)的數(shù)據(jù)庫(kù),都可以防止第三方竊取�����。
然而����,X-Force Red發(fā)現(xiàn)的漏洞允許對(duì)隱藏區(qū)域進(jìn)行完全的讀、寫��、刪除訪問(盡管Thales已經(jīng)針對(duì)特定的文件類型進(jìn)行了額外的檢查)�。這將允許攻擊者讀出系統(tǒng)上運(yùn)行的全部java代碼(包括OEM midlets和Thales的主 "主"代碼)�����,以及他們可能擁有的任何其他 "隱藏 "支持文件。
由于Java很容易被反轉(zhuǎn)為人類可讀的代碼��,這可能會(huì)暴露任何應(yīng)用程序的完整邏輯以及任何嵌入的 "秘密"�,如密碼、加密密鑰等�,并使IP竊取成為一個(gè)非常簡(jiǎn)單的操作。掌握了這些數(shù)據(jù)���,攻擊者可以很容易地創(chuàng)建 "克隆 "設(shè)備�����,或者更可怕的是���,修改功能以實(shí)現(xiàn)欺詐或惡意活動(dòng)。
帶有漏洞的代碼列表
上圖顯示了該漏洞存在于計(jì)算路徑子串中的字符數(shù)并檢查第四個(gè)字符是否為點(diǎn)(字符數(shù)組中的第三個(gè)索引)的代碼中�����。在正常情況下����,任何訪問帶有點(diǎn)前綴的隱藏文件的嘗試都會(huì)被拒絕(例如:a:/.hidden_file)�。然而��,用雙斜線代替斜線(例如:a://.hidden_file)將導(dǎo)致條件失敗���,代碼執(zhí)行將跳轉(zhuǎn)到一個(gè)字符檢查循環(huán)��,該循環(huán)將匹配任何可打印字符����。在第二個(gè)斜線之后���,系統(tǒng)將忽略它���,沒有什么能阻止攻擊者使用點(diǎn)前綴的文件名,繞過安全測(cè)試條件���。
責(zé)任披露和補(bǔ)救
泰雷茲公司與X-Force Red團(tuán)隊(duì)合作�����,在2020年2月測(cè)試�、創(chuàng)建并向其客戶分發(fā)補(bǔ)丁��。
補(bǔ)丁可以通過兩種方式管理--通過軟件插入U(xiǎn)SB運(yùn)行更新,或者通過管理空中(OTA)更新�����。這個(gè)漏洞的補(bǔ)丁過程完全取決于設(shè)備的制造商和它的能力�����,例如��,設(shè)備是否可以訪問互聯(lián)網(wǎng)���,可能會(huì)使它的工作變得復(fù)雜。另一項(xiàng)需要注意的是��,設(shè)備越是受監(jiān)管(醫(yī)療設(shè)備�����、工業(yè)控制等)����,應(yīng)用補(bǔ)丁的難度就越大,因?yàn)檫@樣做可能需要重新認(rèn)證���,這往往是一個(gè)耗時(shí)的過程��。
