CERT-SE startsida
Sök inom CERT-SE
Uppdaterad: 2021-08-06 09:46 Publicerad: 2021-08-04 07:26

Flera kritiska sårbarheter påverkar NicheStack

Sårbarhet NicheStack Interniche Infra:Halt

Forescout Research Labs och Vdoo varnar om 14 nya sårbarheter som påverkar TCP/IP-stacken NicheStack, som bland annat används i industriella styrsystem och annan kritisk infrastruktur. Sårbarheterna har fått samlingsnamnet INFRA:HALT och möjliggör fjärrkörning av godtycklig kod men kan även orsaka informationsläckage och driftstörningar. [1]

NicheStack levereras av Interniche och används i en mängd operationella tekniksystem. Det kan röra sig om teknik som mäter, påverkar, styr eller på annat sätt interagerar med fysiska system, exempelvis industriella styrsystem eller system som används inom hälso- och sjukvård eller för kraftförsörjning. Programmerbara styrsystem (PLC, programmable logic controller) påverkas.

Leverantörer som Emerson, Honeywell, Siemens, Mitsubishi Electric, Rockwell Automation och Schneider Electric nämns som kunder till Interniche. Detta innebär att det finns en risk att stora delar av tillverkningsindustrin påverkas. Enligt forskargruppen som identifierat sårbarheterna kan närmare 200 tillverkningsföretag vara påverkade.

Uppdatering 2021-08-04

Siemens har publicerat en säkerhetsuppdatering för de av deras produkter som berörs. [3]

Uppdatering 2021-08-06

CISA har publicerat rådgivande information och rekommendationer angående sårbarheterna. [4]

Påverkade produkter

Se [2] för mer information om specifika produkter och tillverkare som kan vara påverkade av INFRA:HALT.

Rekommendationer

Det finns ingen generell patch då det är flera olika sårbarheter som påverkar många produkter. Det finns ett antal mitigerande åtgärder, främst att se till att kritiska produkter inte är exponerade mot internet och att uppdatera sårbara produkter så snart patchar finns tillgängliga. Några av sårbarheterna kan också mitigeras genom att blockera eller inaktivera stöd för oanvända protokoll, exempelvis http.CERT-SE:s rekommendation i nuläget är alltså att vara uppmärksam på om de utpekade produkterna används i er it-miljö och, om så är fallet, att säkerställa att de inte är internetuppkopplade. Se till att de mitigerande åtgärderna efterföljs så snart som det är möjligt.

Källor

[1] https://www.forescout.com/research-labs/infra-halt/

[2] https://www.forescout.com/resources/infrahalt-discovering-mitigating-large-scale-ot-vulnerabilities/

[3] https://cert-portal.siemens.com/productcert/pdf/ssa-789208.pdf

[4] https://us-cert.cisa.gov/ics/advisories/icsa-21-217-01