ผู้เชี่ยวชาญได้เปิดเผยถึงชุดช่องโหว่กว่า 14 รายการในชื่อ INFRA:HALT มีช่องโหว่ร้ายแรง 2 รายการ ซึ่ง TCP/IP Stack นี้ถูกนำไปใช้ในระบบ OT จำนวนมาก
NicheStack TCP/IP ถูกพัฒนาขึ้นตั้งแต่ปี 1996 โดยบริษัท InterNiche ซึ่งได้ถูกเข้าซื้อกิจการโดย HCC Embedded สำหรับ TCP/IP Stack นี้ได้ถูกนำไปใช้ใน OEM จำนวนมาก ข้อมูลจากหน้าเว็บของ Vendor เช่น Altera (Intel), NXP (Freescale), Texas Instruments (Luminary) และ STMicroelectronics ยังมีอีก 200 กว่าบริษัทในหน้าเว็บเก่าของ InterNiche เช่น Siemens, Schneider Electric, Rockwell Automation, Honeywell, Emerson และ Mitsubishi Electric
ช่องโหว่ 14 รายการประกอบด้วย RCE, DoS, การเปิดเผยข้อมูล, TCP Spoofing และ DNS Cache Poisoning 10 รายการร้ายแรงสูง ทั้งนี้ Forescout และ JFrog ผู้เชี่ยวชาญที่ค้นพบช่องโหว่ กล่าวถึงความเป็นไปได้หนึ่งที่คนร้ายจะสามารถใช้ช่องโหว่ด้วยการส่ง DNS Request ที่ประดิษฐ์ขึ้นพิเศษที่มี Shellcode ทำให้อุปกรณ์ตัวแรกส่งแพ็กเก็ต FTP ไปหาอุปกรณ์ PLC และเกิดความผิดพลาดตามมาได้ ตามรูปประกอบ
สำหรับผลกระทบจากข้อมูลของ Shodan Search พบว่ามีอุปกรณ์ใช้งาน NicheStack ที่เชื่อมต่อกับอินเทอร์เน็ตอยู่ราว 6,400 ตัว ในส่วนของ Forescout เองทราบถึงอุปกรณ์ 2,500 ตัวจาก 21 ผู้ผลิต ซึ่งจำนวนมากอยู่ในระบบ ICS ในอุตสาหกรรมต่างๆ
ในมุมของการป้องกัน HCC Embedded รับรู้ถึงช่องโหว่ตั้งแต่กันยายนปีก่อน และเพิ่งออกแพตช์เวอร์ชัน 4.3 มาในเดือนพฤษภาคมนี้ พร้อมเตือนให้ผู้เกี่ยวข้องทำการอัปเดต(https://www.hcc-embedded.com/newsletter/interniche-nichestack-vulnerabilities-updates) อย่างน้อยที่สุดเบื้องต้นแอดมินควรจำกัดวงเครือข่ายของอุปกรณ์และติดตามภัยคุกคามอย่างต่อเนื่อง Forescout ได้ออกสคริปต์เพื่อใช้ตรวจสอบว่ามีผลกระทบจาก NicheStack หรือไม่ไว้ที่นี่
ข้อมูลของ INFRA:HALT ศึกษาเพิ่มเติมได้ที่ https://www.forescout.com/resources/infrahalt-discovering-mitigating-large-scale-ot-vulnerabilities/
ที่มา : https://www.securityweek.com/vulnerabilities-nichestack-tcpip-stack-affect-many-ot-device-vendors และ https://www.helpnetsecurity.com/2021/08/04/vulnerabilities-nichestack/