安全部网络安全和基础设施局发布了有关CodeMeter关键漏洞的咨询,CodeMeter是工业控制系统中使用的软件。
该漏洞(共影响了6.90至7.10的所有版本的CodeMeter)共有6个漏洞,其共同的通用漏洞评分系统得分总计为10.0,是CVSS级别的最高级别。
来自Wibu-Systems AG的CodeMeter为情报设备制造商提供盗版和反向工程保护,并提供许可服务,旨在保护用户免遭第三方的篡改和攻击。
利用这些漏洞,攻击者可以进行远程攻击,以部署勒索软件,关闭系统甚至接管关键系统。“成功利用这些漏洞可能使攻击者能够更改和伪造许可证文件,导致拒绝服务情况,潜在地实现远程执行代码,读取堆数据并阻止依赖CodeMeter的第三方软件的正常运行”,ICS-CERT咨询中指出。
Wibu-Systems已发布了一个解决漏洞的补丁程序,但与所有安全更新一样,它需要由用户进行部署,而这个过程肯定会出现问题。这些问题可能包括无法部署更新,或者用户根本不知道自己需要这样做。
CISA的缓解建议包括更新至最新版本的CodeMeter Runtime,仅以客户端身份运行CodeMeter,使用新的REST API而不是Internet WebSockets API并禁用WebSocketsAPI。
企业网络安全公司Tripwire Inc.安全研究高级总监Lamar Bailey 告诉SiliconANGLE,第三方代码既是福也是祸。
他说:“诅咒来自更新。” “必须监视这些组件的更新和安全性问题,供应商经常使第三方组件过时,这使最终用户面临很大风险。工业客户经常遭受最沉重的打击,因为使系统脱机以进行补丁或更新需要花费金钱,并且需要进行计划。每个组织都应该有一个程序来进行定期更新并应对像这样的安全紧急情况。”