A szóban forgó USB-tokeneket rengetegen használják különböző szervezeteknél a szoftverlicencek aktiválására. Normál használat esetén az adott cég rendszergazdájának hozzáférése van a számítógéphez, amelyen aktiválni akar egy szoftvert, és ekkor használja a tokent. Ezt követően engedélyezi a szoftver működését és aktiválja, így a felhasználó használni tudja a programot a munkaállomásán.

Amikor a token először csatlakozik a számítógéphez vagy a szerverhez, a Windows letölti a szoftver illesztőprogramját a szoftvergyártó szerveréről azért, hogy a hardver megfelelően működjön. Néhány esetben az illesztőprogram egy harmadik féltől származó szoftverrel együtt települ, amely a rendszert használja licenc védelemre. A Kaspersky Lab szakértői azt találták, hogy telepítés után a szoftver a port 1947-et hozzáadja a Windows Firewall kivételek listájára anélkül, hogy erről értesítené a felhasználót és ezzel lehetővé teszi a távoli támadásokat.

A támadónak mindössze az 1947-es nyílt portot kell ellenőriznie a célzott hálózaton azért, hogy azonosíthassa a távolról irányítható számítógépeket – állapították meg a Kaspersky Lab ipari vezérlőrendszerek kibersürgősségi csapatának (ICS CERT) szakemberei. Még ennél is fontosabb, hogy a port nyitva marad azután is, hogy a token lekapcsolódik, ami azt jelenti, hogy egy védett és/vagy javított vállalati hálózaton a támadónak csupán telepítenie kell egy szoftvert a HASP rendszerét használva, vagy a tokent hozzáadnia az adott PC-re egyszer (még ha zárolt is a gép) azért, hogy elérhető legyen a távoli támadások számára.

ESET / Sicontact

A kutatók összesen 14 sebezhetőséget azonosítottak a szoftver összetevőiben, többek között DoS sebezhetőséget, és néhány olyat is, amely lehetővé teszi a támadónak a távoli szerverről indított támadásokat. ezek automatikusan képesek használni a rendszergazdajogokat, ami lehetővé teszi a támadóknak tetszőleges kódok végrehajtását. A szakemberek szerint minden észlelt sebezhetőség potenciálisan nagyon veszélyes lehet, és nagy veszteségeket okozhat a vállalkozásoknak és az ipari rendszereknek.

"Tekintettel arra, hogy milyen népszerű menedzsment rendszerről beszélünk, a lehetséges következmények skálája igen nagy" – mondta Vlagyimir Dascsenko, a kutatócsoport vezetője. "Mivel ezeket a tokeneket nemcsak nagyvállalati környezetben használják, hanem kritikus létesítmények esetén is távoli hozzáférések során nagyon szigorú szabályozással. A távoli hozzáférés azonban könnyen feltörhető köszönhetően a nemrég felfedezett sérülékenységnek, és ezzel óriási veszélynek vannak kitéve a kritikus infrastruktúrák hálózatai.”

Amint felfedezték a kutatók a sérülékenységet, azonnal értesítették az érintett szoftver gyártóját, valamint a vállalatokat, és kiadták a biztonsági javításokat.

A Kaspersky Lab ICS CERT minden lehetséges érintett vállalatnak azt javasolja, hogy telepítse a meghajtó legfrissebb illesztőprogramját, vagy lépjen kapcsolatba a gyártóval annak frissítése végett. Amíg ez megtörténik, érdemes lezárni az 1947-es portot, legalábbis a külső tűzfalon, ha ez nincs befolyással az üzleti folyamatokra.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.