Securitybedrijf Gemalto heeft verschillende kwetsbaarheden in Sentinel gedicht, licentiebeheersoftware die binnen veel bedrijfs- en ICS-omgevingen wordt gebruikt. Dat meldt anti-virusbedrijf Kaspersky Lab dat de beveiligingslekken ontdekte en vandaag een uitgebreide analyse over de kwetsbaarheden publiceerde.

Via Sentinel is het mogelijk om gelicenseerde software te activeren. Het bestaat uit een software- en hardwarematig deel. Het softwaregedeelte van de oplossing bestaat uit een driver, een webapplicatie en een verzameling andere softwarecomponenten. Het hardwarematige deel is een usb-token dat op een pc of server moet worden aangesloten om de softwarelicentie te activeren.

Zodra het usb-token wordt aangesloten "ziet" de software de licentie en is vervolgens te gebruiken. Het usb-token moet elke keer worden aangesloten wanneer de software in gebruik is. De oplossing van Gemalto wordt in producten van andere softwareleveranciers gebruikt, waaronder ABB, General Electric, HP, Cadac Group, Zemax en andere organisaties.

Poort 1947

Een opmerkelijke eigenschap van Sentinel is dat het poort 1947 openzet en ervoor zorgt dat inkomende verbindingen worden geaccepteerd. Iets wat gebruikers mogelijk niet weten. Als een Gemalto usb-token voor de eerste keer op de computer wordt aangesloten worden een driver en service geïnstalleerd die netwerkverbindingen op poort 1947 accepteren.

Wanneer de driver handmatig wordt gedownload worden wederom de driver en service geïnstalleerd, maar zal poort 1947 ook aan de uitzonderingen van de Windows Firewall worden toegevoegd. Dit gebeurt ook als de Gemalto-software via het installatiebestand van een derde partij wordt geïnstalleerd.

Volgens de onderzoekers lijkt het openzetten van poort 1947 een ongedocumenteerde feature te zijn die voor remote toegang is te gebruiken. "Dit houdt in dat aanvallers deze mogelijkheid kunnen gebruiken om toegang tot het beheerderspaneel van de Gemalto-software te krijgen, aanvallen met systeemrechten kunnen uitvoeren en hun aanwezigheid na het uitvoeren van deze aanvallen kunnen verbergen", zo merken ze op.

Kwetsbaarheden

Niet alleen zorgt het openzetten van poort 1947 voor een beveiligingsprobleem, de onderzoekers van Kaspersky Lab ontdekten in totaal 14 kwetsbaarheden waardoor het via Sentinel mogelijk was om op afstand willekeurige code op het systeem uit te voeren of een denial of service te veroorzaken. Verder bleken de configuratiebestanden op afstand aan te passen en konden NTLM-hashes worden opgevangen.

Gemalto werd begin 2017 over 11 kwetsbaarheden ingelicht. In juni meldde Gemalto dat er een update was ontwikkeld en informatie over de kwetsbaarheden via het klantenportaal bekend was gemaakt. De onderzoekers van Kaspersky Lab hadden inmiddels 3 andere kwetsbaarheden in Sentinel gevonden en die op 26 juni aan Gemalto gerapporteerd, alsmede het probleem met het openzetten van poort 1947. De kwetsbaarheden werden via een nieuwe driver-versie in juli verholpen, maar nergens werd bij de aankondiging melding van de beveiligingslekken gemaakt.

Tegenover Kaspersky Lab verklaarde Gemalto dat het alle klanten via hun account-dashboard heeft geïnformeerd. Toch kwam Kaspersky Lab met verschillende softwareontwikkelaars in aanraking die van Sentinel gebruikmaken en niet van de kwetsbaarheden op de hoogte waren. Deze ontwikkelaars werkten zodoende nog met de oude, kwetsbare versie. Organisaties en softwareontwikkelaars die van Sentinel gebruikmaken krijgen het advies om zo snel als mogelijk naar versie 7.6 of later te updaten en poort 1947 te sluiten.