(ICSA-14-016-01)Ecava IntegraXor缓冲区溢出漏洞

======================================================================

原文地址：http://ics-cert.us-cert.gov/advisories/ICSA-14-016-01

译文地址：http://www.ics-cert.com.cn/?p=177

译文地址：http://blog.csdn.net/icscert/article/details/18862807

译文作者：ICS-CERT

======================================================================

 

概述

本公告是警告(ICS-ALERT-14-015-01)Ecava IntegraXor 缓冲区溢出漏洞的跟进版，上述警告于2014年1月15日发布在NCCIC/ICS-CERT的网站上。独立研究者LuigiAuriemma发现了Ecava IntegraXor应用程序的缓冲区溢出漏洞，但是并没有通报给NCCIC/ICS-CERT、生产商或者其他独立于NCCIC/ICS-CERT的组织机构。Ecava已经发布了补丁版本来修补这一漏洞。

这一漏洞可以被远程利用，针对此漏洞的exp代码已经被公开。

影响的产品

Ecava报告称这一0day漏洞影响如下版本的IntegraXor：

• IntegraXor 版本 4.1.4380，和更早版本。

影响范围

成功利用此漏洞可能允许攻击者使目标系统崩溃。

对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。

背景

Ecava Sdn Bhd是一家马来西亚的软件开发公司，主要提供IntegraXor的SCADA产品。EcavaSdn Bhd公司专注于工厂自动化和过程自动化解决方案。

受影响的产品IntegraXor是一套工具，用来为SCADA系统，创建和运行基于Web的人机交互环境。IntegraXor当前主要应用在流程控制领域，遍及38个国家，主要为英国、美国、澳大利亚、波兰、加拿大和爱沙尼亚。

漏洞特征

漏洞概述

基于栈的缓冲区溢出a

这一漏洞可以被远程利用，通过在程序的主文件夹中放置一个可执行dll，通过命令利用此漏洞，可以加载可执行资源。

这一漏洞被定义为CVE-2014-0753b. CVSS v2 分数为7.8; CVSS向量字符串为(AV:N/AC:L:Au:N/C:N/I:N/A:C).c

漏洞详细信息

可利用性

这一漏洞可以被远程利用。

Exp代码

针对此漏洞的Exp代码已经被公布。

难度

具有低技术水平的攻击者可以对此漏洞进行利用。

解决办法

Ecava Sdn Bhd已经为客户提供了此漏洞的详细信息并提供了解决办法指南。Ecava Sdn Bhd建议用户从技术支持网站上下载和安装更新版IntegraXor SCADA Server 4.1.4390。地址如下：

http://www.integraxor.com/download/rc.msi?4.1.4390

更多的信息，请参见Ecava的漏洞记录：

http://www.integraxor.com/blog/buffer-overflow-vulnerability-note/

NCCIC/ICS-CERT鼓励所有者采取额外的措施来保护这些风险及其他的安全风险。

• 尽可能的少暴露控制系统设备或系统自身的网络，并确保他们不被互联网访问。
• 在本地控制系统网络和远程设备之间部署防火墙，并将控制网络与企业网络隔离。
• 如果需要远程访问，采用安全的方法，例如VPN，VPN被认为是唯一安全的访问方式。

NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下：

http://ics-cert.us-cert.gov/content/recommended-practices.

很多建议是可以读的，并且可以下载，包括《采用纵深防御策略来提高工业控制系统信息安全》。 NCCIC/ICS-CERT 建议各部门进行在部署安全防御时，先适当的进行安全分析和风险评估。

其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上，ICS-TIP-12-146-01Bg，该文章可以在NCCIC/ICS-CERT的网站上下载。

各组织机构如果发现了一些有恶意嫌疑的程序，可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。

参考文档

• CWE-121: Stack-based Buffer Overflow, http://cwe.mitre.org/data/definitions/121.html, Web site last accessed January 16, 2014.
• b.NVD, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0753, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
• c.CVSS Calculator, http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:L:Au:N/C:N/I:N/A:C, Web site last accessed January 16, 2014.