Der große globale Patch: VxWorks-Schwachstellen kompromittieren Millionen von Geräten
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Obwohl VxWorks dem Durchschnittsverbraucher kein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Und nun sind wir mit der Möglichkeit konfrontiert, dass hunderte Millionen von VxWorks-betriebenen Geräten nun kompromittiert sind.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenVorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
DigitalOcean verringert Sicherheitsverschuldung mit Secure Code Warrior
DigitalOceans Einsatz von Secure Code Warrior hat die Sicherheitsverschuldung deutlich reduziert, so dass sich die Teams stärker auf Innovation und Produktivität konzentrieren können. Die verbesserte Sicherheit hat die Produktqualität und den Wettbewerbsvorteil des Unternehmens gestärkt. Mit Blick auf die Zukunft wird der SCW Trust Score dem Unternehmen helfen, seine Sicherheitspraktiken weiter zu verbessern und Innovationen voranzutreiben.
Ressourcen für den Einstieg
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.
Wesentlicher Erfolg für Enterprise Secure-by-Design-Initiativen
Unser jüngstes Forschungspapier „Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise“ ist das Ergebnis einer umfassenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf Grundlage datengesteuerter Erkenntnisse.