Le grand correctif mondial : Les failles de VxWorks compromettent des millions d'appareils
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Bien que VxWorks ne soit pas un nom familier pour le consommateur moyen, ce produit logiciel profite à de nombreuses personnes comme vous et moi, chaque jour. Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions d'appareils alimentés par VxWorks soient compromis.
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationDirecteur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.