全球大补丁:VxWorks 漏洞将危及数百万台设备
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
尽管对于普通消费者来说,VxWorks 并不是家喻户晓的名字,但这款软件产品每天都会使许多人受益,就像你我一样。现在,我们面临着数亿台基于VxWorks的设备遭到入侵的可能性。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Obwohl VxWorks dem Durchschnittsverbraucher nicht gerade ein Begriff ist, profitieren viele Menschen wie Sie und ich jeden Tag von diesem Softwareprodukt. Als das weltweit beliebteste Echtzeit-Betriebssystem (RTOS) ist es das Arbeitspferd, auf das wir uns (stellvertretend) verlassen, um Unternehmensnetzwerke und Firewalls, Schnittstellen in der Luft- und Raumfahrt, Industrieanlagen und sogar einige medizinische Geräte zu betreiben, um nur einige Anwendungen seiner weitverbreiteten Nutzung zu nennen.
Und jetzt sind wir mit der Möglichkeit konfrontiert, dass Hunderte Millionen, wenn nicht Milliarden, dieser Geräte mit mindestens elf Sicherheitslücken kompromittiert sind. Der Chief Security Architect von Wind River, Arlen Baker, hat diese Zahl in einem Artikel von SearchSecurity bestritten und verraten, dass der genaue Umfang unbestätigt ist und nicht als so hoch angesehen wird. Trotzdem wissen wir bereits, dass Datenschutzverletzungen und Angriffe ständig passieren, aber dies ist die nächste Stufe: Die bestätigten Schwachstellen sind relativ einfach auszunutzen, wobei viele die Tür öffnen und Angreifern erlauben, Geräte durch die Übertragung von Netzwerkpaketen aus der Ferne zu kontrollieren.
Wind River hat natürlich eine Reihe von Fixes und Patches für betroffene Kunden und Mitarbeiter veröffentlicht. Das Problem liegt in der schieren Anzahl der Geräte, die das Patch-Update benötigen - ähnlich wie Thanos die Welt mit einem Fingerschnippen beendet, ist es unvermeidlich, dass viele Geräte für lange Zeit ungepatcht und damit angreifbar bleiben werden.
Die Sicherheitsfirma Armis stand hinter dieser gigantischen Entdeckung und nannte ihre Ergebnisse URGENT/11. Sie haben ihn als ernsthaft eingestuft, zweifellos aufgrund der Leichtigkeit des Angriffs über mehrere Vektoren und des Potenzials für eine umfassende Infektion. Die Erstellung und Verbreitung eines Wurms in Software, die von MRT-Scannern und VOIP-Produkten bis hin zu Zugnetzwerken und Verkehrsampeln reicht, ist durchaus möglich.
Ist es Zeit für Panik?
Als jemand, der das Sicherheitsbewusstsein zu einer wichtigen Aufgabe in seinem Leben gemacht hat, sehe ich tagtäglich eine Menge potenzieller Sicherheitsprobleme. Ich würde den größten Teil meines Tages in Hysterie verbringen, wenn ich mir erlauben würde, zu sehr in Panik zu verfallen (schließlich möchte ich mich lieber der Aufgabe widmen, aufzuklären und bei der Behebung der Bugs zu helfen!) Das Ausmaß des URGENT/11-Fundes ist jedoch ziemlich erschreckend. Von den elf gefundenen Schwachstellen werden sechs als kritisch eingestuft. Wie The Hacker News feststellt, existieren diese Fehler in Geräten, auf denen VxWorks seit Version 6.5 läuft (mit Ausnahme der Versionen, die für die Zertifizierung entwickelt wurden, einschließlich VxWorks 653 und VxWorks Cert Edition), was bedeutet, dass einige lebenswichtige Technologien schon seit über einem Jahrzehnt von Angriffen auf Geräte bedroht sind. Nicht jedes Gerät ist für alle elf Schwachstellen anfällig (und einige können nur ausgenutzt werden, wenn sich der Angreifer im selben LAB-Subnetz befindet), aber selbst ein mittelmäßiger Hacker braucht nur ein kleines Zeitfenster.
Es ist wichtig anzumerken, dass Wind River schnell gehandelt und detaillierte Ratschläge zur Entschärfung der Probleme gegeben hat, ebenso wie Armis. Und das VxWorks RTOS ist so weit verbreitet , weil es so zuverlässig ist und hohe Werte bei den Software-Sicherheitsvorschriften erreicht - typischerweise kümmern sich Bug-Bounty-Jäger nicht allzu sehr darum. Wie auch immer, Sicherheitsfirmen und Wind River können nur so viel tun, um das Problem zu lösen... es liegt in der Hand des Endanwenders, Patches herunterzuladen, Sicherheitshinweise zu beherzigen und seine eigenen Geräte zu verstärken, und genau da wird es knifflig.
Vielleicht müssen wir noch nicht in Panik verfallen, aber es könnte ein Dorf brauchen, um diese Bestie in die Schranken zu weisen.
Die URGENT/11-Schwachstellen erklärt
Zu diesem Zeitpunkt könnte jedes Gerät, das mit dem kompromittierten VxWorks TCP/IP IPnet-Stack seit Version 6.5 verbunden ist, von mindestens einem der URGENT/11 betroffen sein. (Eine vollständige Liste der CVEs von Wind River finden Sie hier).
In den meisten Fällen ermöglichen diese Schwachstellen die Remote-Code-Ausführung (RCE) und Denial-of-Service-Angriffe, wobei einige auch zur Preisgabe von Informationen und zu Problemen mit der Geschäftslogik führen können. Die Remote-Code-Ausführung ist in diesem Fall besonders heikel, da ein Angreifer die Kontrolle über ein Gerät übernehmen kann, ohne dass der Endbenutzer eingreifen muss. Niemand muss versehentlich auf etwas Verdächtiges klicken, etwas herunterladen oder seine Daten eingeben... Das macht VxWorks-Geräte in hohem Maße "wurmbar" und der Angriff kann ein automatisiertes Eigenleben entwickeln. Erinnern Sie sich an den WannaCry-Wurm von EternalBlue? URGENT/11 hat ein ähnliches, aber noch verheerenderes Potenzial, uns weltweit Kopfschmerzen zu bereiten.
Was können wir dagegen tun?
Nun, zum Zeitpunkt des Schreibens sind die Folgen von URGENT/11 noch nicht bekannt. Die Medien haben die Branche darauf aufmerksam gemacht, und Wind River bietet den Betroffenen eindeutig Unterstützung an. In den kommenden Monaten wird sich zeigen, ob Angreifer diese bekannten Schwachstellen auf sinnvolle Weise ausnutzen werden, aber in der Zwischenzeit besteht die offensichtliche Lösung darin, die zahlreichen Ratschläge zu beherzigen und alle relevanten Geräte in Ihrer Umgebung zu patchen.
Langfristig bleibt es die gleiche Mission: Jeder muss es besser machen, wenn es um die Software-Sicherheit geht. Die URGENT/11 CVEs sind im Allgemeinen beunruhigend einfache Hintertüren, durch die man gehen kann, und die Tatsache, dass sie viele Jahre lang unentdeckt blieben, ist ein Zeugnis dafür, dass die allgemeine Besorgnis und das Bewusstsein in der Branche recht gering sind.
Jeder Entwickler hat die Chance, seinen Teil beizutragen, und sie brauchen die Unterstützung, um zu lernen, wie man Code von Beginn der Produktion an sichert. Die einflussreichen Teams um sie herum, jeder von AppSec bis zur C-Suite, können sicherstellen, dass eine positive Sicherheitskultur an jedem Software-Touchpoint im Unternehmen gedeiht.
Möchten Sie Ihr eigenes Sicherheitsbewusstsein testen? Unsere gamifizierte Plattform kann Ihnen echte Code-Herausforderungen bieten, ähnlich wie einige der in URGENT/11 entdeckten. Probieren Sie sie aus und sehen Sie, wie Sie abschneiden:
- Heap-Überlauf beim Parsen von DHCP-Offer/ACK in ipdhcpc (CVE-2019-12257)
Speicherkorruption - Heap-Überlauf - TCP-Verbindungs-DoS über missgestaltete TCP-Optionen (CVE-2019-12258)
Unzureichender Schutz der Transportschicht - ungeschützter Transport sensibler Informationen - Logische Schwachstelle in der IPv4-Zuweisung durch den DHCP-Client ipdhcpc (CVE-2019-12264)
Fehler in der Geschäftslogik - DoS über NULL-Dereferenz im IGMP-Parsing (CVE-2019-12259)
Speicherkorruption - Null-Dereferenz - IGMP-Informationsleck über IGMPv3-spezifischen Mitgliedschaftsbericht (CVE-2019-12265)
Gefährdung von Informationen - Gefährdung sensibler Daten
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
