La división de investigación de Kaspersky Lab ICS CERT advirtió sobre vulnerabilidades graves en el sistema de administración de licencias HASP (Hardware Against Software Piracy), utilizado en entornos corporativos y de ICS para activar el software con licencia.
Afirmó que los tokens USB que utilizan ampliamente en diferentes organizaciones para hacer más conveniente la activación de licencias de software son vulnerables. Una vez que se conecta el token a una PC o servidor por primera vez, al momento de la instalación, este software agrega el puerto 1947 de la computadora a la lista de exclusiones del Cortafuegos (Firewall) de Windows sin notificación al usuario, lo que lo hace disponible para un ataque a distancia.
LEE: EMPRESAS MEXICANAS VULNERABLES CONTRA ATAQUES CIBERNÉTICOS
“Un atacante solo necesitaría escanear por un puerto 1947 abierto en la red objetivo con el fin de identificar las computadoras disponibles para el ataque a distancia” destacó el informe.
A su vez, el puerto permanece abierto aún después de que se haya desconectado el token, por lo que incluso en un entorno corporativo protegido y con los parches adecuados, un atacante solo necesitaría instalar un software utilizando la solución HASP o conectar el token a una PC una sola vez (incluso si está bloqueada) para hacerla disponible para ataques distantes.
En general, los investigadores identificaron 14 vulnerabilidades en un componente de la solución de software, incluyendo varias vulnerabilidades DoS y varias RCE (ejecución a distancia de código arbitrario)
"Considerando el alcance de este sistema de administración de licencias, la posible escala de consecuencias es muy grande, ya que estos tokens se utilizan no solo en entornos corporativos regulares, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Con el problema que descubrimos, estos sistemas podrían ser invadidos fácilmente poniendo en peligro a las redes críticas", dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades, Kaspersky Lab ICS CERT.
Por lo anterior, Kaspersky recomendó a los usuarios de los productos afectados que hagan lo siguiente:
Instalar la versión más reciente (segura) del controlador tan pronto como sea posible, o ponerse en contacto con el proveedor para obtener instrucciones sobre cómo actualizar el controlador.
Cerrar el puerto 1947, al menos en el firewall externo (en el perímetro de la red), pero solo en la medida en que esto no interfiera con los procesos comerciales.