Seguridad

Alerta de seguridad para empresas con HASP instalado

Kaspersky Lab descubrió recientemente cómo un popular token para la administración de licencias abre un oculto canal de acceso remoto para los atacantes. El fabricante aconseja a los afectados qué pasos debe seguir para prevenir más ataques.

Los investigadores de Kaspersky Lab ICS CERT han encontrado diversas de vulnerabilidades graves en el sistema de administración de licencias HASP (Hardware Against Software Piracy), utilizado en entornos corporativos y de ICS para activar el software con licencia. La cantidad de sistemas afectados por esa tecnología vulnerable puede llegar a cientos a más de miles en todo el mundo.

Los tokens USB en cuestión se utilizan en diferentes organizaciones para hacer más conveniente la activación de licencias de software. Bajo circunstancias de uso normal, el administrador del sistema de una empresa necesitaría acceder a la computadora con el software que necesita ser activado e insertar el token. Luego confirmaría que el software de interés es realmente legítimo (no pirateado) y lo activaría, de manera que el usuario de la PC o servidor pudiera utilizar este software.

Alerta de seguridad para empresas con HASP instalado

Una vez que se conecta el token a una PC o servidor por primera vez, el sistema operativo Windows descarga el controlador o subrutina de instrucciones del software desde los servidores del proveedor para que el token funcione correctamente con el hardware de la computadora. En otros casos, el controlador viene instalado con un software de terceros que utiliza el sistema anteriormente mencionado para la protección de la licencia. Nuestros expertos han descubierto que, al momento de la instalación, este software agrega el puerto 1947 de la computadora a la lista de exclusiones del Cortafuegos (Firewall) de Windows sin notificación al usuario, lo que lo hace disponible para un ataque a distancia.

Un atacante solo necesitaría escanear por un puerto 1947 abierto en la red objetivo con el fin de identificar las computadoras disponibles para el ataque a distancia.

Alerta de seguridad para empresas con HASP instalado«Considerando el alcance de este sistema de administración de licencias, la posible escala de consecuencias es muy grande, ya que estos tokens se utilizan no solo en entornos corporativos regulares, sino también en instalaciones críticas con estrictas reglas de acceso remoto. Con el problema que descubrimos, estos sistemas podrían ser invadidos fácilmente poniendo en peligro a las redes críticas», dice Vladimir Dashchenko, jefe del grupo de investigación de vulnerabilidades, Kaspersky Lab ICS CERT.

Lo que es más importante, el puerto permanece abierto aún después de que se haya desconectado el token, por lo que en hasta un entorno corporativo protegido y con los parches adecuados, un atacante solo necesitaría instalar un software utilizando la solución HASP o conectar el token a una PC una sola vez (incluso si está bloqueada) para hacerla disponible para ataques distantes.

En general, los investigadores han identificado 14 vulnerabilidades en un componente de la solución de software, incluyendo varias vulnerabilidades DoS y varias RCE (ejecución a distancia de código arbitrario) que, por ejemplo, se aprovechan automáticamente no con derechos de usuario, sino con los derechos del sistema con más privilegios. Esto proporciona a los atacantes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden ser potencialmente muy peligrosas y resultar en grandes pérdidas para las empresas.

Toda la información ha sido reportada al proveedor. Todas las vulnerabilidades descubiertas recibieron los siguientes números CVE:

  • CVE-2017-11496 Ejecución a distancia de código
  • CVE-2017-11497 Ejecución a distancia de código
  • CVE-2017-11498 Denegación de servicio
  • CVE-2017-12818 Denegación de servicio
  • CVE-2017-12819 Captura de hash NTLM
  • CVE-2017-12820 Denegación de servicio
  • CVE-2017-12821 Ejecución a distancia de código
  • CVE-2017- 12822 Manipulaciones a distancia con archivos de configuración)

Tras el descubrimiento, Kaspersky Lab les presentó las vulnerabilidades a los proveedores de software afectados y las empresas posteriormente emitieron parches de seguridad.

Kaspersky Lab ICS CERT recomienda a los usuarios de los productos afectados que hagan lo siguiente:

  • Instalar la versión más reciente (segura) del controlador tan pronto como sea posible, o ponerse en contacto con el proveedor para obtener instrucciones sobre cómo actualizar el controlador.
  • Cerrar el puerto 1947, al menos en el firewall externo (en el perímetro de la red), pero solo en la medida en que esto no interfiera con los procesos comerciales.

Autor

  • Florencia Gómez Forti

    Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

[mdx-adserve-bstreet region="MED"]

Florencia Gómez Forti

Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba