VxWorks面臨嚴重RCE攻擊風(fēng)險有哪些

這篇文章將為大家詳細講解有關(guān)VxWorks面臨嚴重RCE攻擊風(fēng)險有哪些，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

概述

Armis研究團隊在VxWorks中發(fā)現(xiàn)了11個零日漏洞，VxWorks可能是使用的最廣泛的操作系統(tǒng)。 VxWorks被超過20億臺設(shè)備使用，包括關(guān)鍵的工業(yè)，醫(yī)療和企業(yè)設(shè)備。

被稱為“URGENT/11”的漏洞存在于VxWorks的TCP / IP堆棧（IPnet）中，影響自6.5版本以來的所有版本。但不會影響安全認證產(chǎn)品版本--VxWorks 653和VxWorks Cert Edition。

其中六個漏洞被歸類為關(guān)鍵漏洞并可遠程執(zhí)行代碼（RCE）。其余漏洞為拒絕服務(wù)，信息泄露、邏輯缺陷。 URGENT/11被攻擊會造成很嚴重影響，因為它使攻擊者能夠接管用戶設(shè)備，甚至可以繞過防火墻和NAT等安全設(shè)備。導(dǎo)致攻擊者可以將惡意軟件傳播到網(wǎng)絡(luò)內(nèi)部中去。這種攻擊威力極大，類似于EternalBlue漏洞，可用于傳播WannaCry惡意軟件。

建議運行VxWorks設(shè)備的制造商檢查公司安全中心發(fā)布的Wind River Security Alert中的最新更新，并立即對其進行修補。有關(guān)URGENT/11漏洞的完整技術(shù)細節(jié)可以在URGENT/11技術(shù)白皮書中找到。

VxWorks：實時操作系統(tǒng)

VxWorks是世界上使用最廣泛的實時操作系統(tǒng)（RTOS）。 RTOS由需要高精度和可靠性的設(shè)備使用，例如關(guān)鍵基礎(chǔ)設(shè)施，網(wǎng)絡(luò)設(shè)備，醫(yī)療設(shè)備，工業(yè)系統(tǒng)甚至航天器。因此，VxWorks有非常廣泛的用途，從PLC到MRI機器，到防火墻和打印機，再到飛機，火車等等。 VxWorks設(shè)備還包括西門子，ABB，Emerson Electric, Rockwell，三菱電子，三星，Ricoh, Xerox, NEC和Arris等。

VxWorks于1987年首次發(fā)布，是目前仍在廣泛使用的最成熟的操作系統(tǒng)之一，由于其運行的設(shè)備的性質(zhì)以及升級困難而維護了大量版本。盡管是傳統(tǒng)的RTOS，但只有少數(shù)漏洞被發(fā)現(xiàn)，沒有一個像URGENT/11嚴重。研究表明， VxWorks的內(nèi)部工作方式仍處于不明確的狀態(tài)，其缺陷也是如此，導(dǎo)致了嚴重的URGENT/11漏洞。其次，RTOS是由許多關(guān)鍵設(shè)備使用，使得在其中發(fā)現(xiàn)的漏洞會更具有影響力。

URGENT/11影響

URGENT/11對目前使用所有VxWorks連接的設(shè)備構(gòu)成重大風(fēng)險。 有三種攻擊方案，具體取決于網(wǎng)絡(luò)設(shè)備位置和攻擊者位置。 攻擊者可以使用URGENT/11來控制位于網(wǎng)絡(luò)周邊或內(nèi)部的設(shè)備。 即使是遠程登的設(shè)備也可受到攻擊并被接管。 或者已經(jīng)滲透到網(wǎng)絡(luò)內(nèi)部的攻擊者可以使用URGENT/11來定位其中特定設(shè)備，也可以通過廣播同時接管網(wǎng)絡(luò)中所有受影響的VxWorks設(shè)備。

在所有情況下，攻擊者都可以遠程完全控制目標(biāo)設(shè)備，無需用戶交互，區(qū)別僅在于攻擊者如何到達目標(biāo)設(shè)備。

場景1——攻擊網(wǎng)絡(luò)防御設(shè)備

第一個攻擊情形是攻擊網(wǎng)絡(luò)邊界的VxWorks設(shè)備，例如防火墻，這些設(shè)備可以直接從Internet進行攻擊。使用URGENT / 11漏洞，攻擊者可以對這些設(shè)備直接發(fā)起攻擊，并對其完全控制，然后穿透到內(nèi)部網(wǎng)絡(luò)。

根據(jù)Shodan搜索，有超過80萬的SonicWall防火墻連接到互聯(lián)網(wǎng)，表示這些設(shè)備正在防護相似數(shù)量的內(nèi)部網(wǎng)絡(luò)。使用URGENT / 11和Internet連接，攻擊者可以使用特制的TCP數(shù)據(jù)包發(fā)起直接攻擊，并立即控制所有防火墻，形成的僵尸網(wǎng)絡(luò)規(guī)模幾乎無法衡量，其內(nèi)部網(wǎng)絡(luò)也會遭到破壞。

場景2 - 從網(wǎng)絡(luò)外部攻擊繞過安全防護

第二種攻擊情形會影響任何具有外部網(wǎng)絡(luò)連接的VxWorks設(shè)備，攻擊者能夠接管此類設(shè)備，無論在網(wǎng)絡(luò)外圍實施任何防火墻或NAT都難以抵御攻擊。

攻擊示例：對安全網(wǎng)絡(luò)（例如Xerox打印機）內(nèi)連接到云的IoT設(shè)備進行攻擊。打印機不直接暴露于Internet，因為它受防火墻和NAT的保護。攻擊者可以攔截打印機與云的TCP連接，并觸發(fā)打印機上的URGENT / 11 RCE漏洞，最終完全控制它。一旦攻擊者接管了網(wǎng)絡(luò)中的設(shè)備，就可以橫向擴散，控制其他VxWorks設(shè)備，如下一個攻擊情形所述。

場景3 - 從網(wǎng)絡(luò)內(nèi)部進行攻擊

在這種情況下，攻擊者已經(jīng)可控目標(biāo)網(wǎng)絡(luò)內(nèi)的VxWorks設(shè)備。對網(wǎng)絡(luò)內(nèi)其他VxWorks設(shè)備的攻擊時，攻擊者不需要目標(biāo)設(shè)備的任何信息，因為URGENT / 11允許在整個網(wǎng)絡(luò)中廣播惡意數(shù)據(jù)包，攻擊者可以通過廣播數(shù)據(jù)包攻擊所有存在漏洞的設(shè)備。

攻擊示例：醫(yī)院中的患者監(jiān)護儀。它沒有連接到互聯(lián)網(wǎng)，但通過滲透網(wǎng)絡(luò)，攻擊者可以接管它。另一個例子是可編程邏輯控制器（PLC）。由于plc在受影響的VxWorks上運行，攻擊者使用URGENT / 11漏洞可以在網(wǎng)絡(luò)中廣播攻擊，并有效地控制整個工廠，無需任何前期信息收集工作。

技術(shù)細節(jié)

URGENT / 11是一組11個漏洞，它們會影響VxWorks的TCP / IP堆棧（IPnet）。其中六個漏洞被歸類為關(guān)鍵漏洞并可遠程執(zhí)行代碼（RCE）。其余漏洞分為拒絕服務(wù)，信息泄露或邏輯缺陷。由于每個漏洞都會影響網(wǎng)絡(luò)堆棧的不同部分，因此會影響一組不同的VxWorks版本。

URGENT / 11是迄今為止VxWorks中發(fā)現(xiàn)的最嚴重的漏洞，在其32年的歷史中僅有13個CVE。 URGENT / 11是一組獨特的漏洞，允許攻擊者繞過NAT和防火墻，并通過未檢測到的TCP / IP堆棧遠程控制設(shè)備，無需用戶交互。

如前所述，URGENT / 11由11個漏洞組成，分為兩類：

六個關(guān)鍵漏洞，允許遠程執(zhí)行代碼

解析IPv4選項時堆棧溢出（CVE-2019-12256）

此漏洞可以由發(fā)送到目標(biāo)設(shè)備的IP數(shù)據(jù)包觸發(fā)，廣播或多播數(shù)據(jù)包也會觸發(fā)漏洞。該漏洞在處理IPv4標(biāo)頭中的IP選項時導(dǎo)致堆棧溢出，從而可以RCE。它不需要在設(shè)備上運行任何特定的應(yīng)用程序或配置。

錯誤處理TCP的緊急指針字段而導(dǎo)致的四個內(nèi)存損壞漏洞（CVE-2019-12255，CVE-2019-12260，CVE-2019-12261，CVE-2019-12263）

以下漏洞都源于錯誤處理TCP的緊急指針字段，該TCP字段很少出現(xiàn)在如今的應(yīng)用程序中。攻擊者可以通過直接連接到目標(biāo)設(shè)備上的開放TCP端口，或者通過劫持目標(biāo)設(shè)備的TCP連接來觸發(fā)設(shè)備對該字段的錯誤處理。一旦觸發(fā)，這些漏洞將導(dǎo)致目標(biāo)設(shè)備上的應(yīng)用程序從系統(tǒng)的recv()函數(shù)接收比預(yù)期更多的字節(jié)，從而導(dǎo)致內(nèi)存損壞。

由于緊急指針字段是TCP的內(nèi)置功能，因此路由器，NAT甚至防火墻會完整地傳輸它。即使數(shù)據(jù)通過多個路由器，NAT和防火墻設(shè)備仍然可被攻擊者劫持并用于觸發(fā)漏洞。

影響不同VxWorks版本的四種變體：

1、TCP緊急指針 ‘= 0’ 導(dǎo)致整數(shù)下溢（CVE-2019-12255），影響VxWorks版本6.5到6.9.3。

2、由于TCP AO選項格式錯誤（CVE-2019-12260）導(dǎo)致TCP緊急指針狀態(tài)混淆，影響VxWorks版本6.9.4及更高版本。

3、TCP由于競爭條件引起的緊急指針狀態(tài)混亂（CVE-2019-12263），影響VxWorks版本6.6及更高版本。

4、連接到遠程主機（CVE-2019-12261）時TCP緊急指針狀態(tài)混淆，影響VxWorks版本6.7及更高版本。

DHCP Offer / ACK解析中的堆溢出（CVE-2019-12257）

此漏洞是易受攻擊的設(shè)備分析特定DHCP響應(yīng)數(shù)據(jù)包時觸發(fā)的堆溢出漏洞。當(dāng)它嘗試從DHCP服務(wù)器獲取IP地址時，這些數(shù)據(jù)包由ipdhcpc（VxWorks的內(nèi)置DHCP客戶端）解析。與目標(biāo)設(shè)備位于同一子網(wǎng)中的攻擊者可以等待它發(fā)送DHCP請求，并使用特制的DHCP響應(yīng)快速回復(fù)。在這種情況下，等待來自網(wǎng)絡(luò)的原始DHCP服務(wù)器的響應(yīng)的目標(biāo)設(shè)備很容易被攻擊者欺騙，并解析特制的DHCP響應(yīng)消息，導(dǎo)致攻擊者可遠程代碼執(zhí)行。此漏洞影響VxWorks版本從6.5到6.9.3。

導(dǎo)致拒絕服務(wù)，信息泄露或某些邏輯缺陷的五個漏洞

利用格式錯誤的TCP選項進行TCP連接DoS（CVE-2019-12258）

此漏洞影響VxWorks 6.5及更高版本，并允許對受影響的VxWorks設(shè)備任何TCP連接進行拒絕服務(wù)攻擊?？梢酝ㄟ^使用現(xiàn)有連接的4元組發(fā)送包含某些TCP選項的特制TCP數(shù)據(jù)包來觸發(fā)此漏洞，但不知道該連接的序列號，從而導(dǎo)致TCP連接斷開。

處理未經(jīng)請求的反向ARP回復(fù)（邏輯缺陷）（CVE-2019-12262）

此漏洞是影響VxWorks 6.5及更高版本的邏輯錯誤，可以允許同一子網(wǎng)上的攻擊者通過未經(jīng)請求的RARP回復(fù)數(shù)據(jù)包向目標(biāo)設(shè)備添加多個IPv4地址。這將破壞目標(biāo)設(shè)備的路由表，可能導(dǎo)致其使用的應(yīng)用程序拒絕服務(wù)。多次觸發(fā)此漏洞也會導(dǎo)致內(nèi)存耗盡，從而導(dǎo)致目標(biāo)設(shè)備上的其他執(zhí)行失敗。

ipdhcpc DHCP客戶端分配IPv4的邏輯缺陷（CVE-2019-12264）

此漏洞是VxWorks內(nèi)置DHCP客戶端（如果包含）（ipdhcpc）中的邏輯錯誤，該錯誤會影響VxWorks 6.5及更高版本。易受攻擊的設(shè)備將接受DH分配給它的任何IPv4地址。

在IGMP解析中的DoS（CVE-2019-12259）

此漏洞是影響VxWorks 6.5及更高版本的拒絕服務(wù)漏洞，可能導(dǎo)致目標(biāo)設(shè)在解析本地子網(wǎng)內(nèi)的攻擊者發(fā)送的未經(jīng)身份驗證的數(shù)據(jù)包時崩潰。

IGMP信息泄漏（CVE-2019-12265）

此漏洞是影響VxWorks版本6.9.3及更高版本的信息泄漏?？赏ㄟ^上述DHCP客戶端漏洞（CVE-2019-12264）實現(xiàn)。要觸發(fā)此漏洞，攻擊者可以將分段的IGMPv3成員資格查詢報告發(fā)送到目標(biāo)設(shè)備，使目標(biāo)數(shù)據(jù)包堆的信息泄漏，導(dǎo)致IGMPv3成員身份報告發(fā)送回攻擊者。

受影響范圍

URGENT / 11漏洞影響自6.5版以來的所有VxWorks版本，不包括認證產(chǎn)品版本，例如VxWorks 653和VxWorks Cert Edition。

受影響的設(shè)備的部分列表包括：

SCADA devices

Industrial controllers

Patient monitors

MRI machines

Firewalls

VOIP phones

Printers

除上述設(shè)備外，還有大量公開列表可識別哪些制造商使用VxWorks：

Wind River Customer Page

Wikipedia VxWorks Page

SlideShare

Online Presentations

醫(yī)療和工業(yè)部門可能面臨風(fēng)險

由于VxWorks常被工業(yè)和醫(yī)療行業(yè)使用，因此它們都處于極其嚴重的風(fēng)險之中。 受損的工業(yè)控制器可能會導(dǎo)致關(guān)閉工廠，而監(jiān)護儀受損會對生命造成威脅。

解決方案

VxWorks更新

使用VxWorks設(shè)備的組織和設(shè)備制造商應(yīng)立即修補受影響的設(shè)備。更新和補丁信息可在公司安全中心發(fā)布的Wind River Security Alert中找到。

防火墻設(shè)置

1、檢測對緊急指針的任何使用。在極少數(shù)情況下合法應(yīng)用程序使用緊急指針會導(dǎo)致一些誤報。

2、檢測包含SYN，URG和FIN標(biāo)志的數(shù)據(jù)包。 這種組合永遠不會出現(xiàn)在合法的TCP流量中

3、檢測包含LSRR或SSRR選項的任何IP數(shù)據(jù)包。

關(guān)于“VxWorks面臨嚴重RCE攻擊風(fēng)險有哪些”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。