image

Industriële en medische systemen kwetsbaar door VxWorks-lekken

dinsdag 30 juli 2019, 11:22 door Redactie, 12 reacties

Elf kwetsbaarheden in het veelgebruikte besturingssysteem VxWorks zorgen ervoor dat industriële en medische systemen kwetsbaar voor aanvallen zijn. Wind River, ontwikkelaar van het platform, heeft inmiddels beveiligingsupdates uitgebracht. Meer dan 2 miljard apparaten draaien op VxWorks, waaronder apparaten in de industriële, medische en vitale sectoren.

Het gaat onder andere om apparaten van Siemens, ABB, Emerson Electric, Rockwell, Mitsubishi, Samsung, Ricoh, Xerox, NEC en Arris. Zes van de kwetsbaarheden maken het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren, zonder dat er enige interactie van gebruikers is vereist. Via de andere lekken is het mogelijk een denial of service te veroorzaken of informatie te achterhalen. De beveiligingslekken werden gevonden door securitybedrijf Armis.

Volgens het bedrijf kunnen de kwetsbaarheden door een worm worden gebruikt en biedt het aanvallers de mogelijkheid om de netwerkbeveiliging van een organisatie te omzeilen of aan te vallen. Ter demonstratie laat het bedrijf drie aanvallen zien waarbij een patiëntenmonitor, firewall en printer op afstand worden overgenomen.

Organisaties krijgen het advies om de laatste updates voor hun producten te installeren. De Canadese overheid adviseert daarnaast om netwerken te segmenteren, apparaten niet toegankelijk vanaf het internet te maken, controlesystemen en remote apparaten achter firewalls van bedrijfsnetwerken te isoleren en een vpn voor remote toegang te gebruiken.

Reacties (12)
30-07-2019, 12:11 door Anoniem
Ook kerncentrales?????
30-07-2019, 13:28 door Anoniem
When shit hits the fan....

Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.

Zal wel even duren voordat de meer dan 2 miljard devices geupdate worden.... Als ze al geupdate gaan worden.
30-07-2019, 15:15 door Anoniem
Door Anoniem: When shit hits the fan....

Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.

Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".

Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
30-07-2019, 15:18 door Anoniem
Door Anoniem: Ook kerncentrales?????

Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
30-07-2019, 15:34 door Anoniem
Door Anoniem:
Door Anoniem: Ook kerncentrales?????

Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.

Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
30-07-2019, 18:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook kerncentrales?????

Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.

Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."

Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.

Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/

The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.

“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”
31-07-2019, 01:32 door Anoniem
L.S.

Dan maar te hopen dat niet een van de volgende systeembeheerder blunders in zulke omgevingen ooit plaatsvinden:
https://computerworld.nl/security/90318-10-enorme-beveiligingsblunders-van-systeembeheerders
Info credits for that article in the link go to Famida.Y. Rashid.(Engelstalig).

#sockpuppet
31-07-2019, 08:46 door Anoniem
Door Anoniem:
Door Anoniem: When shit hits the fan....

Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.

Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".

Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
Veel van de embedded hard- en software leveranciers hebben helaas nog geen bounty programma's, hooguit responsible disclosure. Ik heb wel eens gezocht in b.v. ABB software of firmware van bekende router / camera fabrikanten. Dat leverde muv Ubiqiuti een CVE en / of security bulletin op. Dan is het nuttiger om tijd te besteden aan MS en andere betalende programma's.
31-07-2019, 09:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ook kerncentrales?????

Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.

Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."

Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.

Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/

The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.

“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”

Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
01-08-2019, 15:21 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Certified

Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....

Galvanische scheiding? Het is tegenwoordig allemaal draadloos dude. Wie gebruikt er nou nog wired?

https://en.1jux.net/570613
01-08-2019, 17:02 door Anoniem
Asml machines gebruiken het ook
04-08-2019, 07:47 door Anoniem
Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
Elke ethernet interface is tegenwoordig galvanisch gescheiden. Toch gaat er best een hoop data over heen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.