Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple 0-day in VxWorks

remote code execution  Urgent/11  VxWorks   giovedì, 1 agosto 2019

È stata recentemente resa nota la presenza di una serie di vulnerabilità molto gravi all’interno dei sistemi operativi VxWorks prodotti da Wind River. VxWorks è un sistema operativo real-time (RTOS) utilizzato in oltre due miliardi di dispositivi diffusi in svariati ambiti: IoT (ad es., Xerox, LG Electronics, IBM, Epson), in ambienti industriali (ad es., ABB, Mitsubishi Electric, Schneider Electric, Siemens) nei settori aerospaziali, automobilistico ed in equipaggiamenti di rete diffusi anche in ambito enterprise (ad es., Sonicwall, Huawei, Fujitsu, Avaya).

Come segnalato al CERT Nazionale dalla società Yoroi, le criticità sono note con l’alias “Urgent/11” ed includono i seguenti 11 identificativi CVE: CVE-2019-12256, CVE-2019-12257, CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263, CVE-2019-12258, CVE-2019-12259, CVE-2019-12262, CVE-2019-12264, CVE-2019-12265.

Alcune di queste vulnerabilità derivano da falle nella gestione della memoria nello stack di rete TCP/IP (IPnet) presente all’interno dei sistemi operativi VxWorks e possono essere sfruttate da attaccanti di rete per eseguire codice arbitrario sui dispositivi bersaglio. Questa serie di vulnerabilità può essere sfruttata sia da cyber-criminali opportunistici che da gruppi APT specializzati in diversi scenari di attacco, quali ad esempio:

  • compromissione diretta di sistemi perimetrali vulnerabili (ad es., firewall);
  • infiltrazione in dispositivi IoT non esposti su Internet (ad es., stampanti) sfruttando tecniche di man-in-the-middle a livello di rete, anche a monte del perimetro aziendale (ad es., compromissioni di Provider Internet, attacchi BGP, alterazioni DNS);
  • propagazione in reti protette, ad esempio mediante compromissione di dispositivi industriali critici come PLC e dispositivi medici.

Il produttore Wind River ha confermato la presenza della vulnerabilità nelle seguenti versioni del sistema operativo VxWorks:

  • VxWorks 7 SR540 e VxWorks 7 SR610
  • VxWorks 6.9.4.11 e versioni precedenti
  • Tecnologie Wind River Advanced Networking Technologies
  • IPnet network stack (precedenti al 2006)

Non risultano invece afflitte le seguenti versioni:

  • VxWorks dalla versione 5.3 alla 6.4
  • VxWorks Cert
  • VxWorks 653 versioni 2.x e precedenti
  • VxWorks 653 MCE 3.x Cert Edition

A causa della gravità delle vulnerabilità in oggetto, della potenziale diffusione ed esposizione dei sistemi coinvolti dalle problematiche, della loro criticità e dell’imminente rilascio di dettagli tecnici e codice proof-of-concept, si raccomanda di verificare la disponibilità di aggiornamenti presso i produttori dei dispositivi basati su VxWorks presenti all’interno delle proprie reti e di  pianificarne l’installazione con urgenza.

Per informazioni più dettagliate su queste vulnerabilità e sugli aggiornamenti disponibili, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Gravi vulnerabilità in vBulletin 5.5.x

10 ottobre 2019

Sono state scoperte tre diverse vulnerabilità in vBulletin, la più grave delle quali potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario sui server affetti.Leggi tutto

Aggiornamento di sicurezza Android (ottobre 2019)

8 ottobre 2019

Google ha rilasciato l'aggiornamento di sicurezza di ottobre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto