Ricercatori di sicurezza di Armis informazioni su () nello stack IPnet TCP/IP utilizzato nel sistema operativo VxWorks. I problemi hanno il nome in codice "URGENT/11". Le vulnerabilità possono essere sfruttate da remoto inviando pacchetti di rete appositamente progettati, anche per alcuni problemi è possibile effettuare un attacco quando si accede tramite firewall e NAT (ad esempio, se l'aggressore controlla il server DNS a cui accede un dispositivo vulnerabile situato all'interno rete).
Sei problemi possono portare all'esecuzione di codice da parte di un utente malintenzionato durante l'elaborazione di opzioni IP o TCP impostate in modo errato in un pacchetto, nonché durante l'analisi di pacchetti DHCP. Cinque problemi sono meno pericolosi e possono portare alla fuga di informazioni o ad attacchi DoS. La divulgazione delle vulnerabilità è stata coordinata con Wind River e l'ultima versione di VxWorks 7 SR0620, rilasciata la scorsa settimana, ha già risolto i problemi.
Poiché ogni vulnerabilità colpisce una parte diversa dello stack di rete, i problemi potrebbero essere specifici del rilascio, ma si afferma che ogni versione di VxWorks a partire dalla 6.5 presenta almeno una vulnerabilità legata all'esecuzione di codice in modalità remota. In questo caso, per ogni variante di VxWorks è necessario creare un exploit separato. Secondo Armis, il problema riguarda circa 200 milioni di dispositivi, tra cui apparecchiature industriali e mediche, router, telefoni VOIP, firewall, stampanti e vari dispositivi Internet of Things.
Compagnia Wind River che questa cifra è sovrastimata e il problema riguarda solo un numero relativamente piccolo di dispositivi non critici, che, di norma, sono limitati alla rete aziendale interna. Lo stack di rete IPnet era disponibile solo in edizioni selezionate di VxWorks, comprese le versioni non più supportate (prima della 6.5). I dispositivi basati sulle piattaforme VxWorks 653 e VxWorks Cert Edition utilizzati in aree critiche (robot industriali, elettronica automobilistica e aeronautica) non presentano problemi.
I rappresentanti di Armis ritengono che, a causa della difficoltà di aggiornamento dei dispositivi vulnerabili, è possibile che appaiano worm che infettano le reti locali e attaccano in massa le categorie più popolari di dispositivi vulnerabili. Ad esempio, alcuni dispositivi, come le apparecchiature mediche e industriali, richiedono una ricertificazione e test approfonditi durante l'aggiornamento del firmware, rendendo difficile l'aggiornamento del firmware.
Wind River che in tali casi, il rischio di compromissione può essere ridotto abilitando funzionalità di sicurezza integrate come stack non eseguibile, protezione da overflow dello stack, restrizione delle chiamate di sistema e isolamento dei processi. La protezione può essere fornita anche aggiungendo firme di blocco degli attacchi su firewall e sistemi di prevenzione delle intrusioni, nonché limitando l'accesso alla rete al dispositivo solo al perimetro di sicurezza interno.
Fonte: opennet.ru