Pesquisadores de segurança descobriram seis vulnerabilidades críticas em códigos do CodeMeter da Wibu-Systems que podem expor inúmeros ambientes de tecnologia operacional (OT) a ataques de execução remota de código (RCE). O CodeMeter é uma tecnologia de gerenciamento de licenças de software e conteúdo digital, muito utilizada por desenvolvedores de software e fabricantes de dispositivos inteligentes, que protege aplicativos contra engenharia reversa e pirataria.
Uma equipe de pesquisadores da Claroty foi que encontrou os bugs no CodeMeter, que também é bastante utilizado por fornecedores de sistema de controle industrial (ICS). A Claroty fornece soluções para segurança cibernética industrial entre os ambientes de tecnologia da informação (TI) e tecnologia operacional (OT).
As vulnerabilidades receberam pontuação de 10.0 no CVSS (Common Vulnerability Scoring System, ou sistema de pontuação comum de vulnerabilidades), o nível mais alto de criticidade.
Veja isso
Nova aliança visa proteger tecnologia operacional
Microsoft adquire a empresa de segurança de IoT/OT CyberX
“A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor altere e falsifique um arquivo de licença, cause uma condição de negação de serviço [DDoS], alcance potencialmente a execução remota de código, leia dados de heap e evite a operação normal de software de terceiros dependente do CodeMeter”, observa a Agência de Segurança Cibernética e de Infraestrutura (CISA, em inglês) dos Estados Unidos.
Os invasores podem disseminar phishing entre seus alvos, fazendo com que visitem um site malicioso sob seu controle para inserir uma licença maliciosa na máquina da vítima. Ou, então, podem explorar um dos bugs para criar e inserir licenças falsificadas em uma máquina que executa o CodeMeter, disse a Claroty.
A empresa afirma que o pior dos bugs permite que os invasores comprometam o protocolo de comunicação do CodeMeter e a API interna, permitindo que os invasores enviem comandos a qualquer máquina que execute o código. Isso pode permitir o controle remoto completo, permitindo que os invasores instalem ransomware ou outros exploits ou travem os controladores lógicos programáveis (PLCs) por causa da licença maliciosa.
Mitigar a ameaça fica mais difícil devido ao fato de que muitos gerentes de OT podem não saber que uma versão vulnerável do CodeMeter está sendo executada. A Claroty recomendou a varredura para o produto, bloqueando a porta TCP 22350 e contatando os fornecedores de ICS para verificar se podem atualizar manualmente o componente de terceiros do CodeMeter. Um relatório da Claroty do mês passado afirma que mais de 70% das vulnerabilidades ICS divulgadas na primeira metade do ano podem ser exploradas remotamente.