Sono state scoperte 11 vulnerabilità zero-day denominate URGENT/11 nel sistema operativo in tempo reale (RTOS, Real Time Operating System) VxWorks preinstallato su oltre 2 miliardi di dispositivi IoT e SCADA tra cui firewall, stampanti, telefoni VoIP, dispositivi SCADA per il controllo di infrastrutture critiche, apparecchiature di rete, macchinari per risonanza magnetica e altri dispositivi medici, sistemi industriali e persino ascensori, veicoli spaziali, aerei e treni.
Le vulnerabilità, scoperte dai ricercatori Ben Seri, Gregory Vishnepolsky e Dor Zusman degli Armis Labs, risiedono nello stack TCP/IP (IPnet) di VxWorks e hanno interessato quasi tutte le versioni del software proprietario a partire dalla 6.4 rilasciata nel 2006, quindi ben 13 anni fa.
Indice degli argomenti
URGENT/11: i dettagli tecnici delle vulnerabilità
Tra le 11 falle di sicurezza, 6 sono classificate come “critiche” in quanto potrebbero consentire ad un eventuale attaccante di eseguire codice arbitrario da remoto:
- CVE-2019-12256: Stack overflow in the parsing of IPv4 options
- CVE-2019-12255: memory corruption vulnerability
- CVE-2019-12260: memory corruption vulnerability
- CVE-2019-12261: memory corruption vulnerability
- CVE-2019-12263: memory corruption vulnerability
- CVE-2019-12257: Heap overflow in DHCP
Le altre 5 potrebbero invece consentire ai criminal hacker di rubare informazioni riservate e generare malfunzionamenti nei dispositivi vulnerabili esponendoli ad attacchi di tipo DoS/DDoS:
- CVE-2019-12258: TCP connection DoS via malformed TCP options
- CVE-2019-12262: Handling of unsolicited Reverse ARP replies (Logical Flaw)
- CVE-2019-12264: Logical flaw in IPv4 assignment by the ipdhcpc DHCP client
- CVE-2019-12259: DoS via NULL dereference in IGMP parsing
- CVE-2019-12265: IGMP Information leak via IGMPv3 specific membership report
La natura di queste vulnerabilità consente agli aggressori di rilevare da remoto eventuali dispositivi vulnerabili, compresi i dispositivi industriali, medici e aziendali, senza richiedere alcuna interazione da parte dell’utente, permettendo loro di aggirare i dispositivi di sicurezza come firewall e NAT.
Ciò è possibile grazie all’invio al sistema vulnerabile di un pacchetto dati TCP appositamente creato che viene identificato dai sistemi di sicurezza come normali comunicazioni di rete non minacciose: a quel punto, l’exploit consente di prendere il controllo completo del sistema compromesso trasformandolo anche in una sorta di gateway per controllare altri sistemi da remoto a cui trasmettere i pacchetti dannosi.
I ricercatori di Armis Labs hanno anche pubblicato alcuni video in cui mostrano, ad esempio, quanto sia semplice individuare e compromettere una stampante di rete Xerox.
URGENT/11: possibili scenari di attacco
La “flessibilità” del pacchetto di vulnerabilità URGENT/11 consente ad un aggressore di utilizzarlo per assumere il controllo di un dispositivo situato sul perimetro di una rete aziendale o al suo interno. Addirittura, è possibile intercettare e compromettere anche un dispositivo che si collega all’esterno del perimetro virtuale utilizzando una normale connessione a Internet.
Un primo scenario di attacco vede quindi gli aggressori colpire i dispositivi di sicurezza posizionati ai margini della rete ed esposti a Internet per prenderne il controllo. I ricercatori di Armis Labs hanno simulato un attacco del genere prendendo di mira un firewall SonicWall su cui era in esecuzione una versione vulnerabile di VxWorks.
URGENT/11 potrebbe essere utilizzato in un altro scenario di attacco dall’esterno della rete per bypassare le soluzioni di sicurezza che proteggono i dispositivi locali. Ciò è possibile per l’implementazione a basso livello delle vulnerabilità che consente di “nascondere” l’attacco alle soluzioni di sicurezza.
Infine, il terzo scenario di attacco è quello in cui l’aggressore si trova già all’interno della rete target: in questo caso, le vulnerabilità URGENT/11 gli consentono di colpire un dispositivo specifico o di rilevare e attaccare simultaneamente tutti i dispositivi VxWorks.
Le soluzioni per mitigare il rischio di attacco
Per fortuna, i ricercatori che hanno individuato le vulnerabilità URGENT/11 hanno immediatamente informato Wind River, produttore del sistema operativo VxWorks, che ha prontamente provveduto a rimuovere i difetti di sicurezza e a rilasciare una versione aggiornata del software.
I clienti sono stati quindi informati dei difetti di sicurezza e invitati ad adottare misure di mitigazione o a installare le ultime patch disponibili.
Qualora la correzione o l’installazione dell’ultima versione di VxWorks non fosse possibile, è buona regola adottare un efficiente sistema di rilevamento delle intrusioni (IDS, Intrusion Detection System) e configurare le necessarie regole di comportamento per identificare eventuali tentativi di accesso non autorizzato ai dispositivi e alle risorse di rete per lo sfruttamento delle vulnerabilità.
