Los analistas de Kaspersky Lab ICS CERT han descubierto un gran número vulnerabilidades graves en el sistema de administración de licencias Hardware Against Software Piracy (HASP), utilizado ampliamente en compañías y sistemas de control industrial (ICS) para la activación de licencias de software. El número de sistemas afectados por esta tecnología vulnerable puede llegar a superar los cientos de miles en todo el mundo.
Los token USB se utilizan normalmente en las organizaciones para la activación de las licencias de software. En un escenario normal, el administrador del sistema de la empresa sólo tiene que acercarse al ordenador en el que se necesita el programa y activarlo introduciendo el token USB. A continuación, se confirma que el software es legítimo (no ha sido hackeado) y se activa, permitiendo al usuario del PC o del servidor empezar a utilizarlo.
Cuando por primera vez se conecta el token al PC o al servidor, el sistema operativo Windows descarga el controlador del programa desde los servidores del proveedor, haciendo que el token pueda funcionar correctamente con el hardware del ordenador. En otros casos, el controlador viene ya instalado con un software de terceros que utiliza el sistema antes mencionado para proteger la licencia. Nuestros analistas han descubierto que, en el momento de la instalación, este software agrega el puerto 1947 del ordenador a la lista de exclusiones de Windows Firewall, sin notificarlo previamente al usuario, abriendo la puerta a un ataque remoto.
El ciberdelincuente solo necesita escanear la red objetivo para abrir el puerto 1947, identificando cualquier ordenador que esté disponible remotamente.
Pero lo que es más importante, el puerto permanece abierto después de que el token se haya desconectado. Incluso en un entorno corporativo protegido y parcheado, el ciberdelincuente sólo necesitará que se instale un software utilizando la solución HASP o enchufar el token a un PC una única vez (incluso uno que este bloqueado), para que ya pueda ser objetivo de un ataque remoto.
Los analistas han identificado 14 vulnerabilidades diferentes en un componente de la solución de software, incluyendo múltiples vulnerabilidades DoS y varias RCE (ejecución remota de código arbitrario) que, por ejemplo, se pueden aprovechar sin necesidad de disponer de derechos de usuario sino que es suficiente con los derechos del sistema de privilegios, proporcionando a los ciberdelincuentes la oportunidad de ejecutar cualquier código arbitrario. Todas las vulnerabilidades identificadas pueden llegar a ser potencialmente muy peligrosas y causar grandes pérdidas a las empresas.