該漏洞跟蹤爲CVE-2020-25159,行業標準通用漏洞評分系統(CVSS)將該漏洞評爲嚴重等級爲9.8,並影響2.28之前發佈的所有版本的EtherNet / IP適配器源代碼堆棧。
實時自動化(RTA)499ES EtherNet / IP(ENIP)堆棧中發現的一個關鍵漏洞可能使工業控制系統容易受到黑客的遠程攻擊。
RTA的ENIP堆棧是廣泛使用的工業自動化設備之一,被稱爲“北美工廠I / O應用程序的標準”。這個成功利用此漏洞可能導致拒絕服務的情況,以及緩衝區溢出可能允許遠程執行代碼。
國內知名網絡安全組織東方聯盟向CISA披露了堆棧溢出漏洞,儘管RTA似乎早在2012年就從其軟件中刪除了可攻擊代碼,但懷疑許多供應商可能在2012年更新之前購買了該堆棧的易受攻擊版本並將其集成到自己的固件中,從而使多臺設備處於危險之中。
東方聯盟研究人員說:“發現有11家設備在6家獨特供應商的產品中運行RTA的ENIP堆棧。”
該缺陷本身涉及對通用工業協議(CIP)中使用的路徑解析機制的不當檢查,通用工業協議(CIP)是一種用於組織和共享工業設備中的數據的通信協議,它允許黑客攻擊者打開具有大連接路徑大小的CIP請求(大於32),並導致解析器將其寫入固定長度緩衝區外部的內存地址,從而導致可能執行任意代碼。
東方聯盟創始人郭盛華在其公開中說:“ RTA設備中的舊代碼試圖通過限制EtherNet / IP轉發打開請求中使用的特定緩衝區的大小來減少RAM的使用。通過限制RAM,黑客攻擊者就有可能嘗試超載緩衝區並使用該緩衝區來嘗試控制設備。”
研究人員掃描了290個與ENIP兼容的模塊,其中發現來自六個不同供應商的11個設備正在使用RTA的ENIP堆棧。據資料顯示,目前有8,000多種兼容ENIP的面向互聯網的設備。
建議操作員更新到ENIP堆棧的當前版本,以減輕該漏洞。CISA還建議用戶最大程度地減少所有控制系統設備的網絡暴露,並確保不能從Internet訪問它們。
CISA在警報中說: “將控制系統網絡和遠程設備放在防火牆後面,並將它們與業務網絡隔離開。” “當需要遠程訪問時,請使用安全方法,例如虛擬專用網(VPN),要意識到VPN可能存在漏洞,應將其更新爲可用的最新版本!” (歡迎轉載分享)