VxWorks RTO中发现的关键缺陷，为超过20亿台设备供电

根据Armis研究人员在《黑客新闻》发布前分享的一份新报告，这些漏洞统称为URGENT/11 因为他们总共有11人，其中6人的严重性导致了“毁灭性”网络攻击。

Armis Labs是之前发现蓝牙协议中BlueBorne漏洞的同一家物联网安全公司，该漏洞影响了超过53亿台设备—；从Android、iOS、Windows和Linux到物联网（IoT）。

研究人员告诉《黑客新闻》，这些漏洞可能使远程攻击者绕过传统的安全解决方案，完全控制受影响的设备，或“造成类似于永恒蓝漏洞造成的破坏”，而不需要任何用户交互。

你们中的许多人可能从未听说过这种操作系统，但Wind River VxWorks正被用于运行许多日常物联网，如网络摄像头、网络交换机、路由器、防火墙、VOIP电话、打印机和视频会议产品，以及红绿灯。

除此之外，VxWorks还被关键任务系统使用，包括SCADA、火车、电梯和工业控制器、病人监视器、MRI机器、卫星调制解调器、飞行中的WiFi系统，甚至火星探测器。

紧急/11⁠— VxWorks RTOS中的漏洞

报告的紧急/11漏洞存在于RTO的IPnet TCP/IP网络堆栈中，自VxWorks版本6.5以来，该RTO就包含在VxWorks中，显然使过去13年发布的所有VxWorks版本都容易受到设备接管攻击。
所有6个关键漏洞都会让攻击者触发远程代码执行（RCE）攻击，其余漏洞可能会导致拒绝服务、信息泄漏或逻辑缺陷。

关键远程代码执行缺陷：

• IPv4选项解析中的堆栈溢出（CVE-2019-12256）
• 因错误处理TCP的紧急指针字段而导致的四个内存损坏漏洞（CVE-2019-12255、CVE-2019-12260、CVE-2019-12261、CVE-2019-12263）
• ipdhcpc中DHCP提供/确认解析中的堆溢出（CVE-2019-12257）

拒绝服务、信息泄露和逻辑缺陷：

• 通过格式错误的TCP选项进行的TCP连接拒绝服务（CVE-2019-12258）
• 处理未经请求的反向ARP回复（逻辑缺陷）（CVE-2019-12262）
• ipdhcpc DHCP客户端（CVE-2019-12264）在IPv4分配中存在逻辑缺陷
• IGMP解析中通过空解引用的DoS（CVE-2019-12259）
• 通过IGMPv3特定成员报告（CVE-2019-12265）泄露IGMP信息

未经验证的远程攻击者只需向受影响的设备发送精心编制的TCP数据包，即可利用所有这些漏洞，而无需任何用户交互或有关目标设备的事先信息。

然而，VxWorks 6.5版之后的每个版本并不容易受到所有11个缺陷的攻击，但至少有一个关键RCE缺陷会影响实时操作系统的每个版本。

研究人员说：“VxWorks包括一些可选的缓解措施，可能会使一些紧急的/11漏洞更难利用，但设备制造商很少使用这些缓解措施。”。

Armis的研究人员认为，紧急的/11缺陷可能会影响使用其他实时操作系统的设备，正如IPnet在2006年被VxWorks收购之前被用于其他操作系统。

远程攻击者如何利用VxWorks漏洞？

VxWorks IPnet漏洞的利用还取决于攻击者和目标易受攻击设备的位置；毕竟，攻击者的网络数据包应该到达易受攻击的系统。
根据研究人员的说法，紧急/11漏洞的威胁面可分为3种攻击场景，如下所述：

场景1：攻击网络防御

由于VxWorks还为网络和安全设备（如交换机、路由器和防火墙）供电，这些设备通常可以通过公共互联网访问，因此远程攻击者可以对这些设备发起直接攻击，对它们进行完全控制，然后再对它们背后的网络进行控制。


例如，据Shodan搜索引擎称，在撰写本文时，有超过775000个SonicWall防火墙连接到互联网，运行VxWorks RTOS。

场景2：从网络外部绕过安全进行攻击

除了以互联网连接的设备为目标，攻击者还可以尝试以未直接连接到互联网但与防火墙或NAT解决方案保护的基于云的应用程序通信的物联网设备为目标。
根据研究人员的说法，潜在的攻击者可以使用更改DNS的恶意软件或中间人攻击来拦截目标设备与云的TCP连接，并对其发起远程代码执行攻击。

场景3：从网络内部发起攻击

在这种情况下，由于之前的攻击已经将自己定位在网络中的攻击者可以同时对受影响的VxWorks供电设备发起攻击，即使这些设备没有直接连接到互联网。

Armis首席执行官兼联合创始人叶夫根尼·迪布罗夫（Yevgeny Dibrov）说：“这些非托管和物联网设备中的漏洞可以用来操纵数据、扰乱物理世界设备，并将人们的生命置于危险之中。”。

“一个受损的工业控制器可能会关闭一家工厂，而一台pwned患者监护仪可能会产生危及生命的影响。”

“据两家公司所知，没有迹象表明紧急/11漏洞已被利用。”

然而，研究人员也证实，这些漏洞不会影响其他用于认证的VxWorks变体，如VxWorks 653和VxWorks Cert Edition。

Armis负责地向Wind River系统报告了这些漏洞，该公司已于上月通知了多家设备制造商，并发布了修补程序来解决这些漏洞。

与此同时，受影响的产品供应商也在为其客户发布补丁，研究人员认为这需要时间，而且很困难，在物联网和关键基础设施更新方面通常是这样。SonicWall和Xerox已经分别为其防火墙设备和打印机发布了补丁。