Urgent11, le 11 vulnerabilità gravi di 200 milioni di dispositivi connessi

Urgent11, le 11 vulnerabilità gravi di 200 milioni di dispositivi connessi

Firewall, router, centralini VoIP, ma anche stampanti di rete e dispositivi di controllo di processi industriali: sono queste le possibili vittime delle vulnerabilità. Le falle presenti in VxWorks, l'RTOS di Wind River presente su oltre 2 miliardi di dispositivi

di pubblicata il , alle 14:22 nel canale Security
 

Armis, società di sicurezza informatica focalizzata sul mondo Internet of Things, ha oggi rivelato i dettagli di 11 vulnerabilità battezzate, complessivamente, "Urgent11", che possono avere impatto su un'ampia gamma di dispositivi: da router a sistemi medicali, passando per stampanti e macchinari industriali. Nello specifico le vulnerabilità affliggono VxWorks, un RTOS (real-time operating system) di Wind River.

Gli RTOS sono semplici sistemi operativi con funzionalità di base che vengono utilizzati per quei dispositivi che hanno accesso ad un numero limitato di risorse, come i chipset dei dispositivi IoT dove è necessario gestire solamente operazioni di input/output con poca elaborazione di dati e senza la necessità di un'interfaccia grafica o visuale. VxWorks, in particolare, è un RTOS molto popolare in quanto si trova su oltre due miliardi di dispositivi, secondo quanto dichiarato dalla stessa Wind River.

Come dicevamo le falle sono state rese oggi di pubblico dominio (e verranno presentate approfonditamente in occasione della Black Hat Security Conference di Las Vegas il prossimo 8 agosto), ma Armis e Wind River hanno collaborato a stretto contatto per risolvere il problema, con il rilascio delle patch correttive già durante le scorse settimane. Wind River ha inoltre sottolineato che il problema non è ascrivibile esclusivamente al suo RTOS: "Lo stack IPnet è parte di Wind River tramite l'acquisizione di Interpeak nel 2006, in precedenza era usato in licenza da svariati produttori di ROTS".

Le 11 vulnerabilità Urgent11

Le falle Urgent11 si trovano quindi nello stack di rete TCP/IP, componente di VxWorks che gestisce le capacità di un dispositivo di collegarsi ad Internet o ad altri dispositivi all'interno di una rete locale. Si tratta di vulnerabilità che possono essere sfruttate con esiti di vari livelli di gravità: dalla semplice lettura di informazioni di base di un dispositivo, al crash fino alla presa di controllo da remoto.

Di seguito riportiamo le vulnerabilità individuate da Armis e che possono portare all'esecuzione di codice da remoto:

1. Stack overflow in the parsing of IPv4 packets IP options (CVE-2019-12256)
2. TCP Urgent Pointer = 0 leads to integer underflow (CVE-2019-12255)
3. TCP Urgent Pointer state confusion caused by malformed TCP AO option (CVE-2019-12260)
4. TCP Urgent Pointer state confusion during connect to a remote host (CVE-2019-12261)
5. TCP Urgent Pointer state confusion due to race condition (CVE-2019-12263)
6. Heap overflow in DHCP Offer/ACK parsing in ipdhcpc (CVE-2019-12257)

Vi sono poi altre cinque vulnerabilità che possono portare a DoS, errori logici o esfiltrazione di informazioni sono:

1. TCP connection DoS via malformed TCP options (CVE-2019-12258)
2. Handling of unsolicited Reverse ARP replies (Logical Flaw) (CVE-2019-12262)
3. Logical flaw in IPv4 assignment by the ipdhcpc DHCP client (CVE-2019-12264)
4. DoS via NULL dereference in IGMP parsing (CVE-2019-12259)
5. IGMP Information leak via IGMPv3 specific membership report (CVE-2019-12265)

Le vulnerabilità Urgent11 interessano tutte le versioni di VxWorks a partire dalla 6.5 e successive, e cioè le versioni rilasciate negli ultimi 13 anni. L'RTOS di Wind River è in circolazione da 32 anni. La società afferma che la maggior parte delle versioni di VxWorks toccate dal problema sono ora in fase end-of-life, mentre per quanto riguarda le versioni ancora supportate, incluso l'attuale filone 7.x, le patch sono state rilasciate il 19 luglio. "L'ultima release di VxWorks non è interessata dalle vulnerabilità, e nemmeno i prodotti safe-critical di Wind River che sono pensati per la certificazione, come VxWorks 653 e VxWorks Cert Edition" fa sapere la società, la quale afferma inoltre di non aver trovato prove che le vulnerabilità siano state sfruttate prima del rilascio delle patch. In totale sarebbero circa 200 milioni i dispositivi interessati.

Patch già disponibili, ma c'è il pericolo "coda lunga"

Alcune vulnerabilità possono essere sfruttate direttamente tramite internet, mentre altre richiedono una presenza sulla rete locale. Ovviamente la reale gravità di ciascuna falla è strettamente legata anche al tipo di dispositivo che eventualmente affligge: la compromissione di un router o un firewall può risultare in un effetto a catena anche di particolare entità, mentre invece se parliamo di un dispositivo per il controllo di processi industriali - che di norma non dovrebbe essere lasciato accessibile su internet - le conseguenze potrebbero essere meno impattanti. A tal proposito Armis ha rilasciato un whitepaper dettagliato che approfondisce gli aspetti tecnici di ciascuna vulnerabilità e illustra gli scenari in cui ciascuna di esse può essere sfruttata.

Questa situazione potrebbe però avere strascichi per lungo tempo: nonostante infatti le migliori intenzioni di Wind River di rilasciare le patch con il giusto tempismo una volta appreso il problema, molti dei dispositivi interessati potrebbero non essere immediatamente disponibili per l'installazione delle patch correttive. I dispositivi industriali infatti sono di norma soggetti a cicli di manutenzione molto rigidi, allo scopo di minimizzare i danni economici dovuti alla sospensione dell'attività di linee produttive necessaria per l'installazione di patch di sicurezza. Un aggiornamento approssimativo o non pianificato potrebbe portare a interruzioni di attività per giorni invece che di poche ore. Senza contare che alcune realtà potrebbero non disporre delle competenze necessarie per l'installazione di un aggiornamento di sicurezza di un RTOS a basso livello.

Premesso che l'installazione delle patch chiude tutte le falle, è comunque utile indicare la possibilità di seguire altre strade temporanee qualora non sia possibile applicare le patch immediatamente ai dispositivi interessati. Ben Seri, Vice President of Resarch per Armis, ha infatti suggerito di creare opportune regole a livello di firewall per rilevare e bloccare i tentativi di sfruttamento delle vulnerabilità più dannose. A patto che, ovviamente, il firewall stesso non sia compromesso o sia già stato corretto.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^