Beveiligingsonderzoekers van Armis informatie over () in de TCP/IP IPnet-stack die wordt gebruikt in het VxWorks-besturingssysteem. De problemen hebben de codenaam "URGENT/11" gekregen. Kwetsbaarheden kunnen op afstand worden misbruikt door speciaal ontworpen netwerkpakketten te verzenden. Voor sommige problemen kan een aanval worden uitgevoerd wanneer toegang wordt verkregen via firewalls en NAT (bijvoorbeeld als de aanvaller de DNS-server beheert waartoe een kwetsbaar apparaat op het interne netwerk toegang heeft) .
Zes problemen kunnen ertoe leiden dat aanvallers code uitvoeren bij het verwerken van verkeerd ingestelde IP- of TCP-opties in een pakket, en bij het parseren van DHCP-pakketten. Vijf problemen zijn minder gevaarlijk en kunnen leiden tot informatielekken of DoS-aanvallen. De openbaarmaking van de kwetsbaarheid is gecoördineerd met Wind River en de nieuwste release van VxWorks 7 SR0620, die vorige week werd uitgebracht, heeft de problemen al aangepakt.
Omdat elke kwetsbaarheid een ander deel van de netwerkstack treft, kunnen de problemen releasespecifiek zijn, maar er wordt gesteld dat elke versie van VxWorks sinds 6.5 minstens één kwetsbaarheid voor het uitvoeren van externe code bevat. In dit geval is het voor elke variant van VxWorks noodzakelijk om een aparte exploit te creëren. Volgens Armis treft het probleem ongeveer 200 miljoen apparaten, waaronder industriële en medische apparatuur, routers, VOIP-telefoons, firewalls, printers en diverse Internet of Things-apparaten.
Windrivier bedrijf dat dit cijfer overschat is en dat het probleem slechts een relatief klein aantal niet-kritieke apparaten treft, die in de regel beperkt zijn tot het interne bedrijfsnetwerk. De IPnet-netwerkstack was alleen beschikbaar in geselecteerde edities van VxWorks, inclusief releases die niet langer worden ondersteund (vóór 6.5). Apparaten gebaseerd op de VxWorks 653- en VxWorks Cert Edition-platforms die worden gebruikt in kritieke gebieden (industriële robots, auto- en luchtvaartelektronica) ondervinden geen problemen.
Vertegenwoordigers van Armis zijn van mening dat vanwege de moeilijkheid om kwetsbare apparaten te updaten, het mogelijk is dat er wormen zullen verschijnen die lokale netwerken infecteren en massaal de populairste categorieën kwetsbare apparaten aanvallen. Sommige apparaten, zoals medische en industriële apparatuur, vereisen bijvoorbeeld hercertificering en uitgebreide tests bij het updaten van hun firmware, waardoor het moeilijk wordt om hun firmware bij te werken.
Wind River dat in dergelijke gevallen het risico op compromissen kan worden verminderd door ingebouwde beveiligingsfuncties in te schakelen, zoals een niet-uitvoerbare stapel, bescherming tegen stapeloverloop, beperking van systeemaanroepen en procesisolatie. Bescherming kan ook worden geboden door aanvalsblokkerende handtekeningen toe te voegen aan firewalls en inbraakpreventiesystemen, en door de netwerktoegang tot het apparaat te beperken tot de interne beveiligingsperimeter.
Bron: opennet.ru