‘紧急/ 11’关键基础设施漏洞威胁到永恒的蓝色攻击

UPDATE

已经发现了11个漏洞，其中6个是关键的远程代码执行（RCE）漏洞，它们影响了数百万个关键基础设施系统，例如公用事业，电梯和工业控制器，病人监护仪和核磁共振成像机上的SCADA设备，可编程逻辑控制器（PLC），机械臂等 - 以及防火墙，路由器，卫星调制解调器，VoIP电话和打印机。

之前发现BlueBorne漏洞的Armis的研究人员表示，自6.5版本以来包含IPnet堆栈的Wind River VxWorks版本受到了一组错误的影响，该公司统称为“URGENT / 11”。

VxWorks是一种实时操作系统（RTOS），第三方硬件制造商已在工业，医疗和企业环境中嵌入了20多亿台设备。

此外，风河网络通过2006年收购Interpeak收购了IPnet网络堆栈。在此次收购之前，该堆栈被许多实时操作系统供应商广泛许可并部署 - 这一事实扩大了攻击面研究人员说。

如果被利用，URGENT / 11可能允许完全接管设备（或整组设备），导致类似于EternalBlue漏洞导致的中断 ， Armis指出 。

“VxWorks是你可能从未听说过的最广泛使用的操作系统，”Armis研究副总裁Ben Seri说。 “各种行业都依赖VxWorks在日常运营中运行其关键设备 - 从医疗保健到制造甚至安全业务。 这就是为什么URGENT / 11如此重要。 关键设备和设备的妥协可能性，特别是在制造业和医疗保健领域，这是一个很大的问题。“

漏洞详细信息

根据Armis（ Wind River的CVEs）的说法，任何利用包含IPnet堆栈的VxWorks的连接设备都会受到11个已发现漏洞中的至少一个的影响。 最值得关注的是，URGENT / 11包含六个RCE漏洞，可以通过未经身份验证的网络数据包使攻击者完全控制目标设备。

“URGENT / 11可能允许攻击者远程利用和接管关键任务设备，绕过传统的边界和设备安全。 拥有这些设备的每家企业都需要确保它们受到保护，“Armis首席执行官兼联合创始人Yevgeny Dibrov表示。 “这些非托管和物联网设备中的漏洞可用于操纵数据，破坏物理世界设备，并使人们的生命处于危险之中。”

Seri在一次采访中告诉Threatpost，这些发现中有两个特别是“非常有趣”的漏洞。

其中之一， CVE-2019-12256 ，存在于设备通信的IP协议头中，第2层，这为大规模攻击开辟了可能性。 这是解析IPv4数据包的IP选项时的堆栈溢出，它在CVSS v3规模上具有关键的9.8严重性级别。

“这会影响任何受IP支持的受影响设备，”Seri解释道。 “因为它位于IP标头中，所以您不必将数据包直接发送到特定设备以触发漏洞。 触发它的IP数据包可以是广播数据包，由网络中的每个兼容设备听到。“

因此，如果有一个PLC所有运行相同版本的仓库，一个广播数据包可以同时触发所有这些数据库的漏洞。

“我不知道我以前是否听说过这样的事情，”斯里说。 “这是非常罕见和独特的。”

第二种漏洞类型存在于TCP层中存在的四个大型 （ CVE-2019-12255 ， CVE-2019-12260 ， CVE-2019-12261和CVE-2019-12263 ，其关键严重性级别最高为9.8） 3解析，可以让攻击者绕过传统的外围防御。

“数据包经过网络地址横向（NAT）和防火墙，使用TCP端口将端点连接到云服务或互联网，”Seri解释说。 “因此，打印机可能会将出站连接到云打印服务。 由于此漏洞，防火墙和NAT的互联网端的攻击者可以拦截连接，更改TCP标头以包含漏洞利用代码，并将数据包发送回打印机以触发RCE。 所有这些都不需要破坏网络; 同时设备被认为是在防火墙和NAT后面安全的。“

这两者也可以链接在一起 - 攻击者可以利用第3层漏洞穿透网络，然后使用第2层错误发送广播数据包，同时危及大量机器。

第六个关键错误是CVE-2019-12257 ，其严重程度为8.8。 它允许特制的DHCP数据包使用DHCP在VxWorks系统上导致堆分配的内存溢出。 攻击者必须已经破坏了目标设备所连接的LAN，因为IP路由器不会转发DHCP数据包。

利用微不足道

URGENT / 11之所以如此关注的原因之一是，这些漏洞很普遍，需要很少的技术专业知识才能开发 - 而且，它们可以产生很大的影响。

“这些都是强大的漏洞，”Seri告诉Threatpost。 “任何使用VxWorx的设备都可能受到影响; 无论设备上的配置或使用的应用程序是什么都无关紧要。“

要安装广告系列，攻击者只需选择一类设备（如MRI机器），然后使用众所周知的漏洞技术创建目标蠕虫。

“使用VxWorks的设备传统上并没有很多安全性，不像PC和手机，”Seri说。 “这些漏洞很容易被利用。 一些缺陷是简单的堆栈溢出漏洞，这种漏洞在90年代经常被利用来创建各种蠕虫。“

修补

Wind River一直致力于通知其嵌入式系统硬件制造商客户，并于上个月发布补丁。 然而，正如Android生态系统所熟悉的那样，在减轻危险方面可能会产生长尾效应。 在向其OEM合作伙伴提供补丁后，这些合作伙伴必须实施补丁，然后与他们自己的最终用户客户群合作以推出补丁。

“至少有2,000家供应商依赖这些代码，”Seri说。 “像这样修补嵌入式设备是生态系统中漫长的过程，不像移动设备和个人电脑那样经常发生安全保障。”

但是，在所有设备都可以使用补丁之前，漏洞本身可通过流量分析识别出来; Seri表示，Armis正在为防火墙和NAT提供签名，以记录任何感染尝试。

就其本身而言，Wind River发表了一份关于调查结果的声明。

Wind River首席安全架构师Arlen Baker在一份网络声明中说：“通过相互接受的负责任披露，Wind River专门的安全事件响应团队与Armis密切合作，确保客户得到通知并提供补丁和缓解选项。” “这个共享的协作流程的设计和执行旨在帮助设备制造商降低用户的潜在风险。 我们感谢安全研究人员在帮助我们发现IPnet网络堆栈中的这些漏洞方面发挥的作用。“

研究人员告诉Threatpost，好消息是URGENT / 11不会影响为认证设计的产品版本，例如VxWorks 653和VxWorks Cert Edition--意味着核电站等可能没有风险。 然而，斯里说在评估中不要太容易休息。

“我们不知道为什么它不会影响认证，并且获得对这些系统的访问非常困难，它是一个非常受保护的封闭系统，”他解释道。 “因此，就发现的缺陷而言，URGENT / 11可能是冰山一角，我们希望这为其他研究人员铺平了道路，让他们看看这些平台。”

Armis指出，很少有狩猎者将他们的目光投向VxWorks，因为它具有普遍性和可信度，“因为其严格且高度可靠的安全认证及其高度可靠性和实时准确性。”在fatc中， 32年的历史，MITER仅列出了13个CVE，影响了VxWorks。

“与那些投入大量研究时间的Android相比，”塞里说。 “已经发现了数以千计的CVE。 VxWorks在32年内有13个漏洞？ 它嵌入在与Android相同数量的设备中，并用于更老的关键基础设施中。 那里可能会有更多，安全研究人员有时间更频繁地关注这个平台。“

这篇文章在美国东部时间下午1点更新，附加了CVE信息和Wind River的声明。

对补丁管理更感兴趣？ 不要错过我们免费的 Threatpost网络研讨会 ，“ 简化补丁管理”，现在可以按需提供。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势，如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 点击这里收听（需要注册）。