Blog

Der große globale Patch: VxWorks-Schwachstellen kompromittieren Millionen von Geräten

Pieter Danhieux
Veröffentlicht Aug 05, 2019

Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.

Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.

Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.

Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.

Ist es Zeit für Panik?

Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.

Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.

Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.

Die URGENT/11-Schwachstellen erklärt

Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).

In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.

Was können wir dagegen tun?

Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.

Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.

Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.

Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:

Ressource anzeigen
Ressource anzeigen

Obwohl VxWorks dem Durchschnittsverbraucher kein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Und nun sind wir mit der Möglichkeit konfrontiert, dass hunderte Millionen von VxWorks-betriebenen Geräten nun kompromittiert sind.

Interessiert an mehr?

Vorstandsvorsitzender, Chairman und Mitbegründer

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchen
Weitergeben:
Autor
Pieter Danhieux
Veröffentlicht Aug 05, 2019

Vorstandsvorsitzender, Chairman und Mitbegründer

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Weitergeben:

Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.

Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.

Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.

Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.

Ist es Zeit für Panik?

Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.

Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.

Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.

Die URGENT/11-Schwachstellen erklärt

Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).

In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.

Was können wir dagegen tun?

Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.

Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.

Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.

Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:

Ressource anzeigen
Ressource anzeigen

Füllen Sie das folgende Formular aus, um den Bericht herunterzuladen

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Senden
Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.

Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.

Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.

Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.

Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.

Ist es Zeit für Panik?

Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.

Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.

Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.

Die URGENT/11-Schwachstellen erklärt

Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).

In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.

Was können wir dagegen tun?

Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.

Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.

Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.

Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:

Auf Ressource zugreifen

Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Bericht ansehenDemo buchen
PDF herunterladen
Ressource anzeigen
Weitergeben:
Interessiert an mehr?

Weitergeben:
Autor
Pieter Danhieux
Veröffentlicht Aug 05, 2019

Vorstandsvorsitzender, Chairman und Mitbegründer

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Weitergeben:

Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.

Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.

Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.

Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.

Ist es Zeit für Panik?

Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.

Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.

Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.

Die URGENT/11-Schwachstellen erklärt

Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).

In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.

Was können wir dagegen tun?

Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.

Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.

Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.

Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:

Inhaltsübersicht

PDF herunterladen
Ressource anzeigen
Interessiert an mehr?

Vorstandsvorsitzender, Chairman und Mitbegründer

Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.

Demo buchenHerunterladen
Weitergeben:
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge
Ressourcendrehscheibe

Ressourcen für den Einstieg

Mehr Beiträge