Industriële en medische systemen kwetsbaar door VxWorks-lekken
Elf kwetsbaarheden in het veelgebruikte besturingssysteem VxWorks zorgen ervoor dat industriële en medische systemen kwetsbaar voor aanvallen zijn. Wind River, ontwikkelaar van het platform, heeft inmiddels beveiligingsupdates uitgebracht. Meer dan 2 miljard apparaten draaien op VxWorks, waaronder apparaten in de industriële, medische en vitale sectoren.
Het gaat onder andere om apparaten van Siemens, ABB, Emerson Electric, Rockwell, Mitsubishi, Samsung, Ricoh, Xerox, NEC en Arris. Zes van de kwetsbaarheden maken het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren, zonder dat er enige interactie van gebruikers is vereist. Via de andere lekken is het mogelijk een denial of service te veroorzaken of informatie te achterhalen. De beveiligingslekken werden gevonden door securitybedrijf Armis.
Volgens het bedrijf kunnen de kwetsbaarheden door een worm worden gebruikt en biedt het aanvallers de mogelijkheid om de netwerkbeveiliging van een organisatie te omzeilen of aan te vallen. Ter demonstratie laat het bedrijf drie aanvallen zien waarbij een patiëntenmonitor, firewall en printer op afstand worden overgenomen.
Organisaties krijgen het advies om de laatste updates voor hun producten te installeren. De Canadese overheid adviseert daarnaast om netwerken te segmenteren, apparaten niet toegankelijk vanaf het internet te maken, controlesystemen en remote apparaten achter firewalls van bedrijfsnetwerken te isoleren en een vpn voor remote toegang te gebruiken.
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Zal wel even duren voordat de meer dan 2 miljard devices geupdate worden.... Als ze al geupdate gaan worden.
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".
Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.
Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/
The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.
“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”
Dan maar te hopen dat niet een van de volgende systeembeheerder blunders in zulke omgevingen ooit plaatsvinden:
https://computerworld.nl/security/90318-10-enorme-beveiligingsblunders-van-systeembeheerders
Info credits for that article in the link go to Famida.Y. Rashid.(Engelstalig).
#sockpuppet
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".
Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.
Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/
The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.
“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”
Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
Galvanische scheiding? Het is tegenwoordig allemaal draadloos dude. Wie gebruikt er nou nog wired?
https://en.1jux.net/570613
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
