Investigadores de seguridade de Armis información sobre () na pila IPnet TCP/IP utilizada no sistema operativo VxWorks. Os problemas foron denominados "URXENTE/11". As vulnerabilidades pódense explotar de forma remota enviando paquetes de rede especialmente deseñados, incluíndo, para algúns problemas, un ataque pode levarse a cabo ao acceder a través de cortalumes e NAT (por exemplo, se o atacante controla o servidor DNS ao que accede un dispositivo vulnerable situado na rede interna). .
Seis problemas poden levar á execución de código do atacante ao procesar as opcións IP ou TCP definidas incorrectamente nun paquete, así como ao analizar paquetes DHCP. Cinco problemas son menos perigosos e poden provocar fugas de información ou ataques DoS. A divulgación da vulnerabilidade foi coordinada con Wind River e a última versión de VxWorks 7 SR0620, publicada a semana pasada, xa abordou os problemas.
Dado que cada vulnerabilidade afecta a unha parte diferente da pila de rede, os problemas poden ser específicos da versión, pero indícase que cada versión de VxWorks desde a 6.5 ten polo menos unha vulnerabilidade de execución de código remota. Neste caso, para cada variante de VxWorks é necesario crear un exploit separado. Segundo Armis, o problema afecta a uns 200 millóns de dispositivos, incluíndo equipos industriais e médicos, enrutadores, teléfonos VOIP, cortalumes, impresoras e varios dispositivos de Internet das cousas.
Compañía Wind River que esta cifra está sobreestimada e o problema afecta só a un número relativamente pequeno de dispositivos non críticos, que, por regra xeral, limítanse á rede corporativa interna. A pila de rede IPnet só estaba dispoñible en edicións seleccionadas de VxWorks, incluídas as versións que xa non son compatibles (anterior á 6.5). Os dispositivos baseados nas plataformas VxWorks 653 e VxWorks Cert Edition utilizados en áreas críticas (robots industriais, electrónica de automoción e aviación) non experimentan problemas.
Os representantes de Armis cren que, debido á dificultade de actualizar os dispositivos vulnerables, é posible que aparezan vermes que infecten as redes locais e ataquen masivamente as categorías máis populares de dispositivos vulnerables. Por exemplo, algúns dispositivos, como os equipos médicos e industriais, requiren unha recertificación e probas exhaustivas ao actualizar o seu firmware, o que dificulta a actualización do seu firmware.
Río vento que, en tales casos, o risco de comprometerse pode reducirse activando funcións de seguridade integradas, como a pila non executable, a protección de desbordamento de pila, a restrición de chamadas do sistema e o illamento de procesos. Tamén se pode proporcionar protección engadindo sinaturas de bloqueo de ataques en firewalls e sistemas de prevención de intrusións, así como limitando o acceso á rede ao dispositivo só ao perímetro de seguridade interna.
Fonte: opennet.ru