Der große globale Patch: VxWorks-Schwachstellen kompromittieren Millionen von Geräten
Der große globale Patch: VxWorks-Schwachstellen kompromittieren Millionen von Geräten
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Pieter Danhieux
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Verwandte Artikel, die wir empfehlen
Verwandte Artikel, die wir empfehlen
Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.
Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.
Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit
Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.
Der große globale Patch: VxWorks-Schwachstellen kompromittieren Millionen von Geräten
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
