Detectan vulnerabilidades en un popular sistema de administración de licencias, capaces de habilitar ataques remotos

Los analistas del grupo Kaspersky Lab ICS CERT han descubierto un "gran número" de vulnerabilidades graves en el sistema de administración de licencias Hardware Against Software Piracy (HASP), ampliamente utilizado en compañías y sistemas de control industrial (ICS) para la activación de licencias de 'software', ha explicado la empresa rusa en un comunicado. El número de sistemas afectados por esta tecnología vulnerable "puede llegar a superar los cientos de miles en todo el mundo", ha alertado.

Kaspersky ha explicado que las vulnerabilidades tienen su origen en el empleo de los 'token' USB de seguridad que los administradores del sistema de la empresa utilizan para activar licencias de 'software'. Tras insertar estos componentes, se verifica la legitimidad del programa, que es activado, permitiendo al usuario del ordenador o el servidor empezar a utilizarlo.

Cuando se conecta por primera vez el 'token', el sistema operativo Windows descarga el controlador del programa desde los servidores del proveedor, haciendo que el USB pueda funcionar correctamente con el 'hardware' del ordenador, aunque en otros casos el controlador ya viene instalado con un 'software' de terceros que utiliza el sistema HASP para proteger la licencia.

Pero los analistas de Kaspersky Lab ha descubierto que, en el momento de la instalación, este 'software' agrega el puerto 1947 del ordenador a la lista de exclusiones del Firewall de Windows, "sin notificarlo previamente al usuario", lo que abre, en consecuencia, la puerta "a un ataque remoto". De esta manera, un ciberdelincuente solo necesita escanear la red objetivo para abrir el puerto 1947, identificando cualquier ordenador que esté disponible remotamente.

La compañía de ciberseguridad ha recalcado que este puerto permanece abierto después de que el 'token' se haya desconectado. Incluso en un entorno corporativo protegido y parcheado, un ciberdelincuente solo necesitaría que se instalase un 'software' utilizando la solución HASP o enchufando el 'token' a un PC una única vez --incluso uno que esté bloqueado-- para que ya pueda ser objetivo de un ataque remoto.

14 VULNERABILIDADES DIFERENTES

Los analistas han identificado 14 vulnerabilidades diferentes en un componente de la solución de 'software', incluyendo múltiples vulnerabilidades DoS y varias RCE (ejecución remota de código arbitrario) que se pueden aprovechar sin necesidad de derechos de usuario, sino únicamente con los derechos del sistema de privilegios, para dar a los ciberdelincuentes la oportunidad de ejecutar cualquier código arbitrario.

Kaspersky ha alertado de que todas las vulnerabilidades identificadas pueden llegar a ser "potencialmente muy peligrosas" y causar "grandes pérdidas" a las empresas. Tras el descubrimiento, la firma rusa notificó estas vulnerabilidades a los proveedores de 'software' afectados, y todas las empresas afectadas lanzaron los parches de seguridad adecuados.

El jefe del grupo Kaspersky Lab ICS CERT, Vladimir Dashchenko, ha comentado que, teniendo en cuenta lo extendido del uso de HASP, las consecuencias "pueden ser enormes", ya que estos 'tokens' se utilizan tanto en entornos corporativos comunes como en instalaciones críticas con estrictas reglas de acceso remoto.

La compañía ha recomendado a los usuarios de productos afectados que instalen la última versión de los 'drivers' "tan pronto como sea posible" o que contacten con el fabricante para recibir instrucciones sobre cómo proceder. Además, ha aconsejado cerrar el puerto 1947, al menos en el 'firewall' externo, "pero solo si no interfiere con los procesos de negocio".