当主要漏洞出现在无处不在的操作系统(如微软视窗)中时,它们可能会被武器化和利用,其后果可能会影响数百万台设备。今天,来自企业安全公司Armis的研究人员正在详细说明一个流行操作系统中的这种漏洞,该系统运行在全球20多亿台设备上。但与Windows、iOS或安卓不同,这种操作系统可能是你从未听说过的。叫做VxWorks。
VxWorks被设计为一个安全的“实时”操作系统,用于持续运行的设备,如医疗设备、电梯控制器或卫星调制解调器。这使得它成为物联网和工控产品的热门选择。然而,Armis研究人员在该平台的网络协议中发现了11个漏洞,其中6个漏洞可能允许攻击者访问远程设备,并允许蠕虫将恶意软件传播到世界各地的其他VxWorks设备。大约2亿件设备似乎很脆弱;大多数版本的VxWorks都有这些错误,可以追溯到2006年发布的6.5版本。
想想WannaCry ransomware是如何利用永恒蓝窗漏洞在互联网和全世界传播的。不同的是,这次的对象是工业设备和医疗设备,而不是Windows机器,结果可能是任何导致设备故障或删除整个系统的东西。
VxWorks开发者丰和公司正在发布bug补丁。然而,Armis的研究人员在3月份首次向丰和公司披露了他们的发现,他们认为修复过程将是漫长而艰难的,物联网和关键基础设施的更新也是如此。研究人员将于下周在拉斯维加斯的黑帽安全会议上展示他们的发现。
Armis研究副总裁kxdyf Seri表示:“网络层的漏洞意味着它将影响任何使用该操作系统并具有网络功能的设备。“就像征服了通往宝藏的脆弱之门。”
被称为紧急/11的漏洞在两个方面令人惊讶。首先,它们存在于操作系统的网络协议——“TCP/IP协议栈”中,可以帮助设备连接到互联网和其他网络,这是关键。20世纪90年代,研究人员和黑客在这些协议的实现中发现了许多漏洞和蠕虫,但从那以后,这个基本组件的安全性在整个行业得到了很大程度的标准化。其次,在VxWorks中很少发现安全漏洞(尤其是关键漏洞)。虽然漏洞范围很广,但Armis和Wind River都强调WIRED没有出现在最新版本的VxWorks或“认证”版本的Wind River中,比如VxWorks 653和VxWorks Cert Edition。这意味着像核电站这样的关键基础设施不容易受到攻击。
“并非所有漏洞都适用于所有受影响的版本。到目前为止,没有迹象表明紧急/11漏洞已经被利用,”Wind River在一份声明中说。“受影响的人只占我们客户群的一小部分,主要包括调制解调器、路由器和打印机等企业设备,以及位于面向互联网的组织网络周围的一些工业和医疗设备。使用VxWorks部署设备的组织应立即修复受影响的设备。”
丰和公司与客户合作分发补丁已近两个月。然而,VxWorks设备的性质——它们通常连续运行,并且通常依赖于需要定制修复过程的定制软件——使得实施修复具有挑战性。
Armis首席营销官ssdyb表示:“VxWorks非常受欢迎,需要很长时间才能修复。“这就像防火墙或机械臂,或者考虑患者监护仪和医疗设备。他们基本上必须创建一个全新的操作系统,并获得美国食品和药物管理局的批准。你不能只是关闭产品线并进行这些更新。”
检查可用VxWorks bugs的其他研究表明,分发补丁和减轻影响是多么困难。嵌入式设备安全公司Red Balloon的CEO崔昂表示:“我们已经看到,之前发现的VxWorks漏洞在我们2018年的研究中广泛存在,我们认为这些漏洞已经从零日漏洞变成了永恒漏洞。”“这是因为,实际上,许多受影响的设备存在于关键基础架构中。打印机和手机可以打补丁,但大多数工业设备不能。”
网络协议层漏洞最具威胁性的是,可以从远处开发,而不是受害者的本地位置,比如打开恶意文档或插入被污染的USB存储卡。研究人员发现的最具破坏性的利用仍然需要特殊的操作,例如组织的网络流量和操纵数据包的能力。然而,越来越多的人具备了这些特种作战的能力,可以随时发动大规模的攻击。
“对我来说,最糟糕的情况是,一个有预谋的国家可能会利用这些漏洞做一些事情,”Sri可爱的眼睛说。“我们知道SCADA设备成为了目标,我们也知道电网成为了目标。而这些VxWorks设备都有工业用例。我不是说明天早上就会发生,但对我来说这是最糟糕的情况。”