伟大的全球补丁。VxWorks缺陷将使数百万设备受到影响
虽然VxWorks对于普通消费者来说并不是一个家喻户晓的名字,但这个软件产品每天都不可避免地使许多像你和我一样的人受益。作为世界上最流行的实时操作系统(RTOS),它是我们(通过代理)依赖的工作母体,为企业网络和防火墙、航空航天接口、工业设备,甚至一些医疗设备提供动力,这只是它广泛使用的几个例子。
而现在,我们面临着这样一种可能性:数以亿计,甚至数十亿计的这些设备,现在至少有11个漏洞被破坏。风河公司的首席安全架构师Arlen Baker在SearchSecurity的一篇文章中对这个数字提出异议,他透露确切的范围未经证实,相信不会有这么高。尽管如此,我们已经知道数据泄露和攻击一直在发生,但这是下一个级别:已确认的缺陷相对容易利用,许多漏洞打开了大门,允许攻击者通过网络数据包的传输远程控制设备。
当然,风河已经向受影响的客户和同事发布了一系列的修复和补丁。问题在于需要更新补丁的设备数量之多--就像萨诺斯用手指一按就能结束世界一样,许多设备将不可避免 地在很长一段时间内没有打补丁,因此也就没有了漏洞。
安全公司Armis是这一巨大发现的幕后推手,将他们的发现称为URGENT/11。他们将其认定为严重事件,无疑是由于其易于从多个载体进行攻击,并有可能造成广泛感染。从核磁共振扫描器和VOIP产品,到火车网络和交通信号灯,在这些软件中创建和部署蠕虫病毒是完全可能的。
现在是恐慌的时候吗?
作为一个将安全意识作为人生重要使命的人,我看到了很多日常的潜在安全问题。如果我允许自己过于恐慌,我会在歇斯底里中度过一天的大部分时间(毕竟,我宁愿去做试图教育和帮助修复漏洞的工作!)。然而,URGENT/11发现的范围是相当可怕的。在发现的11个漏洞中,有6个被认为是关键的。正如The Hacker News所指出的,这些缺陷从6.5版开始就存在于运行VxWorks的设备中(不包括为认证而设计的版本,包括VxWorks 653和VxWorks Cert版),这意味着一些重要的技术已经受到设备接管攻击的威胁超过十年了。并非每台设备都容易受到所有11个缺陷的影响(有些缺陷只有在攻击者处于同一LAB子网时才能被利用),但即使是一个平庸的黑客也只需要一个小小的机会窗口。
值得注意的是,风河公司已经迅速采取行动,并提供了关于缓解问题的详细建议,Armis也是如此。而且,VxWorks实时操作系统之所以被广泛采用,是因为它非常可靠,而且在软件安全法规方面得分很高--通常情况下,错误赏金猎人不会过多地去打扰它。然而,安全公司和风河公司在解决这个问题上只能做这么多......下载补丁、听从安全建议和加固他们自己的设备是掌握在最终用户手中的,而这正是问题的症结所在。
也许我们还不需要恐慌,但可能需要一个村子来扳倒这头野兽,使之屈服。
URGENT/11漏洞的解释
在这一点上,自6.5版以来,任何连接到被破坏的VxWorks TCP/IP IPnet协议栈的设备都可能受到至少一个URGENT/11的影响。关于风河公司的CVE的完整列表,请看这里)。
大多数情况下,这些缺陷允许远程代码执行(RCE)和拒绝服务攻击,有几个还导致了信息暴露和商业逻辑问题。在这种情况下,远程代码执行是一个特别敏感的问题,因为攻击者可以在没有最终用户互动的情况下对设备进行控制。没有人需要意外地点击任何可疑的东西,下载任何东西或输入他们的详细信息......它使VxWorks设备高度 "蠕虫化",并使攻击有了自己的自动生命。还记得EternalBlue的WannaCry蠕虫吗?URGENT/11有一个类似的,但更具破坏性的潜力,给我们带来了全球性的头痛。
我们能做些什么呢?
嗯,在写这篇文章的时候,URGENT/11的后果仍然是未知的。媒体已经让业界意识到了这一点,而风河公司显然正在为受影响的人提供支持。未来几个月将揭示是否有攻击者选择以任何有意义的方式利用这些已知的缺陷,但与此同时,明显的解决方案是听取大量的建议,在你的轨道上修补任何相关设备。
长期而言,它仍然是同一个任务:在软件安全方面,每个人都需要做得更好。一般来说,URGENT/11 CVEs是令人担忧的简单后门,它们多年来一直没有被发现,这证明了整个行业的关注度和意识都相当低。
每个开发人员都有机会尽自己的一份力量,他们需要得到支持,以学习如何从生产的一开始就保证代码的安全。他们周围有影响力的团队,从AppSec到C-suite的每个人,都可以确保积极的安全文化在企业内的每个软件接触点上茁壮成长。
想测试你自己的安全意识吗?我们的游戏化平台可以给你提供类似于URGENT/11中发现的一些真实的代码挑战。查看它们,看看你的表现如何。
- ipdhcpc中DHCP Offer/ACK解析中的堆溢出(CVE-2019-12257)。
内存破坏 - 堆溢出 - 通过畸形的TCP选项进行TCP连接DoS(CVE-2019-12258)。
传输层保护不足 - 敏感信息的传输不受保护 - ipdhcpc DHCP客户端的IPv4分配存在逻辑漏洞(CVE-2019-12264
业务逻辑缺陷 - 通过IGMP解析中的NULL解除引用进行DoS(CVE-2019-12259)。
内存破坏 - 空值解除引用 - 通过IGMPv3特定成员报告的IGMP信息泄露(CVE-2019-12265
信息暴露 - 敏感数据的暴露
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
伟大的全球补丁。VxWorks缺陷将使数百万设备受到影响
虽然VxWorks对于普通消费者来说并不是一个家喻户晓的名字,但这个软件产品每天都不可避免地使许多像你和我一样的人受益。作为世界上最流行的实时操作系统(RTOS),它是我们(通过代理)依赖的工作母体,为企业网络和防火墙、航空航天接口、工业设备,甚至一些医疗设备提供动力,这只是它广泛使用的几个例子。
而现在,我们面临着这样一种可能性:数以亿计,甚至数十亿计的这些设备,现在至少有11个漏洞被破坏。风河公司的首席安全架构师Arlen Baker在SearchSecurity的一篇文章中对这个数字提出异议,他透露确切的范围未经证实,相信不会有这么高。尽管如此,我们已经知道数据泄露和攻击一直在发生,但这是下一个级别:已确认的缺陷相对容易利用,许多漏洞打开了大门,允许攻击者通过网络数据包的传输远程控制设备。
当然,风河已经向受影响的客户和同事发布了一系列的修复和补丁。问题在于需要更新补丁的设备数量之多--就像萨诺斯用手指一按就能结束世界一样,许多设备将不可避免 地在很长一段时间内没有打补丁,因此也就没有了漏洞。
安全公司Armis是这一巨大发现的幕后推手,将他们的发现称为URGENT/11。他们将其认定为严重事件,无疑是由于其易于从多个载体进行攻击,并有可能造成广泛感染。从核磁共振扫描器和VOIP产品,到火车网络和交通信号灯,在这些软件中创建和部署蠕虫病毒是完全可能的。
现在是恐慌的时候吗?
作为一个将安全意识作为人生重要使命的人,我看到了很多日常的潜在安全问题。如果我允许自己过于恐慌,我会在歇斯底里中度过一天的大部分时间(毕竟,我宁愿去做试图教育和帮助修复漏洞的工作!)。然而,URGENT/11发现的范围是相当可怕的。在发现的11个漏洞中,有6个被认为是关键的。正如The Hacker News所指出的,这些缺陷从6.5版开始就存在于运行VxWorks的设备中(不包括为认证而设计的版本,包括VxWorks 653和VxWorks Cert版),这意味着一些重要的技术已经受到设备接管攻击的威胁超过十年了。并非每台设备都容易受到所有11个缺陷的影响(有些缺陷只有在攻击者处于同一LAB子网时才能被利用),但即使是一个平庸的黑客也只需要一个小小的机会窗口。
值得注意的是,风河公司已经迅速采取行动,并提供了关于缓解问题的详细建议,Armis也是如此。而且,VxWorks实时操作系统之所以被广泛采用,是因为它非常可靠,而且在软件安全法规方面得分很高--通常情况下,错误赏金猎人不会过多地去打扰它。然而,安全公司和风河公司在解决这个问题上只能做这么多......下载补丁、听从安全建议和加固他们自己的设备是掌握在最终用户手中的,而这正是问题的症结所在。
也许我们还不需要恐慌,但可能需要一个村子来扳倒这头野兽,使之屈服。
URGENT/11漏洞的解释
在这一点上,自6.5版以来,任何连接到被破坏的VxWorks TCP/IP IPnet协议栈的设备都可能受到至少一个URGENT/11的影响。关于风河公司的CVE的完整列表,请看这里)。
大多数情况下,这些缺陷允许远程代码执行(RCE)和拒绝服务攻击,有几个还导致了信息暴露和商业逻辑问题。在这种情况下,远程代码执行是一个特别敏感的问题,因为攻击者可以在没有最终用户互动的情况下对设备进行控制。没有人需要意外地点击任何可疑的东西,下载任何东西或输入他们的详细信息......它使VxWorks设备高度 "蠕虫化",并使攻击有了自己的自动生命。还记得EternalBlue的WannaCry蠕虫吗?URGENT/11有一个类似的,但更具破坏性的潜力,给我们带来了全球性的头痛。
我们能做些什么呢?
嗯,在写这篇文章的时候,URGENT/11的后果仍然是未知的。媒体已经让业界意识到了这一点,而风河公司显然正在为受影响的人提供支持。未来几个月将揭示是否有攻击者选择以任何有意义的方式利用这些已知的缺陷,但与此同时,明显的解决方案是听取大量的建议,在你的轨道上修补任何相关设备。
长期而言,它仍然是同一个任务:在软件安全方面,每个人都需要做得更好。一般来说,URGENT/11 CVEs是令人担忧的简单后门,它们多年来一直没有被发现,这证明了整个行业的关注度和意识都相当低。
每个开发人员都有机会尽自己的一份力量,他们需要得到支持,以学习如何从生产的一开始就保证代码的安全。他们周围有影响力的团队,从AppSec到C-suite的每个人,都可以确保积极的安全文化在企业内的每个软件接触点上茁壮成长。
想测试你自己的安全意识吗?我们的游戏化平台可以给你提供类似于URGENT/11中发现的一些真实的代码挑战。查看它们,看看你的表现如何。
- ipdhcpc中DHCP Offer/ACK解析中的堆溢出(CVE-2019-12257)。
内存破坏 - 堆溢出 - 通过畸形的TCP选项进行TCP连接DoS(CVE-2019-12258)。
传输层保护不足 - 敏感信息的传输不受保护 - ipdhcpc DHCP客户端的IPv4分配存在逻辑漏洞(CVE-2019-12264
业务逻辑缺陷 - 通过IGMP解析中的NULL解除引用进行DoS(CVE-2019-12259)。
内存破坏 - 空值解除引用 - 通过IGMPv3特定成员报告的IGMP信息泄露(CVE-2019-12265
信息暴露 - 敏感数据的暴露
