Gravissime Vulnerabilità all’interno di VxWorks

Proto: N060719.

Con la presente Yoroi desidera informarLa riguardo alla scoperta di una serie di vulnerabilità molto gravi all’interno dei sistemi operativi VxWorks prodotti da Wind River. VxWorks è un sistema operativo utilizzato in oltre due miliardi di dispositivi diffusi in svariati ambiti: IoT (e.g. Xerox, LG Electronics, IBM, Epson), in ambienti industriali (e.g. ABB, Mitsubishi Electric, Schneider Electric, Siemens) nei settori aerospaziali, automotive ed in equipaggiamento di rete diffuso anche in ambito Enterprise (e.g. Sonicwall, Huawei, Gujitsu, Avaya). Le criticità sono note con l’alias “Urgent/11” ed includono gli identificativi CVE-2019-12256, CVE-2019-12257, CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263, CVE-2019-12258, CVE-2019-12259, CVE-2019-12262, CVE-2019-12264, CVE-2019-12265.

Parte delle vulnerabilità riguardano lacune nella gestione della memoria nello stack di rete TCP/IP, detto IPnet, presente all’interno dei sistemi operativi VxWorks, e possono essere sfruttate da attaccanti di rete per eseguire codice arbitrario nei dispositivi bersaglio. Questa serie di vulnerabilità può essere sfruttata sia da cyber-criminali opportunistici che da gruppi APT specializzati in diversi scenari di attacco, ad esempio:

• Compromettendo direttamente i sistemi perimetrali, come ad esempio i firewall SonicWall (bollettino SNWLID-2019-0009).
• Infiltrandosi in dispositivi IoT non esposte ad internet (e.g. stampanti Xerox) sfruttando tecniche di Man-in-the-Middle a livello di rete, anche a monte del perimetro aziendale (e.g. compromissioni di Provider Internet, attacchi BGP, alterazioni DNS).
• Propagandosi all’interno delle rete protette, ad esempio prendendo il controllo di dispositivi industriali critici come PLC e dispositivi medici.

Wind River ha confermato le problematiche con un apposito bollettino di sicurezza, indicando come afflitte le seguenti versioni del sistema operativo:

• VxWorks 7 SR540 e VxWorks 7 SR610
• VxWorks 6.9.4.11 e precedenti
• tecnologie Wind River Advanced Networking Technologies
• IPnet network stack (prima del 2006)

Non risultano invece afflitte le versioni:

• VxWorks 5.3 fino a VxWorks 6.4
• VxWorks Cert
• VxWorks 653 versioni 2.x e precedenti
• VxWorks 653 MCE 3.x Cert Edition

Per via della potenziale diffusione ed esposizione degli asset coinvolti dalle problematiche, della loro criticità e dell’imminente rilascio di dettagli tecnici e proof of concept, Yoroi consiglia caldamente di richiedere informazioni ed aggiornamenti ai Vendor dei dispositivi basati su VxWorks presenti all’interno delle Vostre reti, di monitorare e pianificare l’applicazione degli aggiornamenti di sicurezza disponibili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index