关键的VxWorks漏洞使数百万台设备遭受黑客入侵
研究人员在VxWorks中发现了11个严重的漏洞,VxWorks是全球最受欢迎的实时操作系统(RTOS),为超过20亿台设备供电,包括企业网络防火墙和路由器,工业控制器和医疗设备。许多漏洞允许攻击者通过发送网络数据包远程接管设备,这使得它们特别危险。
来自物联网安全公司Armis的研究人员发现了这些漏洞,由于其广泛的影响,他们将其称为URGENT / 11。缺陷位于操作系统的TCP / IP堆栈中,这是处理网络通信的核心组件,其中六个可能导致远程代码执行(RCE)。
“URGENT / 11非常严重,因为它使攻击者能够接管无需用户交互的设备,甚至可以绕过防火墙和NAT解决方案等周边安全设备,”Armis研究人员在他们的报告中说。“这些破坏性特征使这些漏洞变得”易于使用“,这意味着它们可用于将恶意软件传播到网络中和网络内。这种攻击具有极大的潜力,类似于EternalBlue漏洞,用于传播WannaCry恶意软件。
Wind River是一家建立并维护VxWorks操作系统的公司,它已经向合作伙伴和客户发布了补丁。然而,鉴于嵌入式设备生态系统和供应链的复杂性,以及将补丁部署到一般专用设备的挑战,许多人很可能长期处于易受攻击状态。
根据Armis的说法,易受攻击的设备包括工业SCADA系统,电梯和工业控制器,病人监护仪和MRI机器,防火墙,路由器,卫星调制解调器,VOIP电话,打印机等。在2006年之前,Wind River收购了名为IPnet的易受攻击的TCP / IP堆栈,该堆栈也获得许可并分发给其他RTOS供应商,因此运行其他实时操作系统的设备很可能也很容易受到攻击。
Armis的分析显示,IPnet中存在的漏洞已存在超过13年,自6.5以来影响大多数版本的VxWorks,除了最新版本以及VxWorks 653和VxWorks Cert Edition等认证。
研究人员声称这些是迄今为止在VxWorks中发现的最严重的缺陷,但也可能是因为VxWorks没有像通用操作系统那样得到安全研究界的同等关注。RTOS在其32年的历史中只有13个公共CVE漏洞标识符。
“在大多数操作系统中,关键网络堆栈中的这些基本漏洞已经灭绝,经过多年的审查,已经解决并减轻了这些缺陷,”Armis的研究人员说。
URGENT / 11缺陷如何运作?
并非所有VxWorks版本都存在所有漏洞,但大多数版本至少受其中一个漏洞影响。远程代码执行缺陷可以通过简单地将恶意制作的TCP数据包发送到易受攻击的设备来利用,而无需对其默认配置进行任何其他更改。
可以从互联网直接访问的设备(如防火墙和路由器)显然风险更大,一旦受到攻击,它们就可以用作内部网络的跳转点来攻击其他易受攻击的VxWorks设备。在大多数情况下,一旦他们获得对这种外围设备的访问权限,攻击者就可以轻松地将恶意数据包广播到整个网络。
Armis的研究人员告诉CSO,即使没有内部网络访问,攻击者仍然可以使用多种技术来定位和破坏NAT防火墙后面的VxWorks设备。例如,许多打印机和其他系统经常联系到位于互联网上的服务器或基于云的服务。
如果攻击者获得了一个中间位置,允许他们在离开受害者网络后拦截这些请求,他们就可以使用恶意数据包进行回复。这可以通过多种方式实现,包括黑客攻击或获取ISP路由器的访问权限,危害设备访问的远程服务器,或通过BGP路由劫持。
虽然六个RCE缺陷被评为严重,但考虑到受影响设备的类型,不应优先考虑拒绝服务的缺陷。关键任务设备和设备的计划外停机会造成严重后果。例如,攻击者可以使用这些缺陷来阻止医院中的患者监测设备,停止生产工厂的生产或更糟。
暴露了超过2亿个任务关键型设备
虽然VxWorks在超过20亿台设备中使用,但Wind River在一封电子邮件新闻稿中表示,这些漏洞只影响其客户群的“一小部分”,主要是“位于面向互联网的组织网络周边的企业设备”作为调制解调器,路由器和打印机,以及一些工业和医疗设备。“ 然而,Armis估计这些漏洞暴露了2亿多个“任务关键型”设备。
Wind River与Armis密切合作,作为协调披露流程的一部分,并已发布仍受支持的受影响VxWorks版本的补丁。防火墙制造商SonicWall和打印机供应商Xerox等一些硬件制造商也发布了受影响产品的更新。
但是,考虑到受影响的设备的多样性以及IPnet和VxWorks中存在这些缺陷的长时间,可能仍有许多易受攻击的设备已经达到支持终止且可能永远不会收到补丁。
患者监护仪,RMI和工业控制器等设备的保质期比打印机或企业防火墙长得多。它们也更难以更新,因为该过程可能需要手动干预,而且还因为它们执行关键操作,并且它们的所有者无法在没有认真计划的情况下将它们用于固件更新。
隔离和补丁
Wind River建议使用VxWorks驱动的设备的组织立即部署补丁。但是,为了做到这一点,组织需要首先确定他们在网络上拥有哪些VxWorks设备以及其中有多少是易受攻击的。在完成清单并且可以将修补计划付诸实施之前,组织应使用网络控制隔离已识别的易受攻击的设备,并监控其行为以寻找可能的妥协迹象。
好消息是可以在防火墙级别检测到URGENT / 11攻击。Armis目前不会发布概念验证漏洞利用代码,但会使入侵检测系统可以使用检测签名。
研究人员计划在即将举行的Black Hat USA安全会议上展示针对SonicWall防火墙,Xerox打印机和病人监护仪的三种真实攻击情景。