Blog

Le grand correctif mondial : Les failles de VxWorks compromettent des millions d'appareils

Pieter Danhieux
Publié le 05 août 2019

Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.

Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.

Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.

La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.

Faut-il paniquer ?

En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.

Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.

Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.

Les vulnérabilités URGENT/11 expliquées

À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).

La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.

Que pouvons-nous faire ?

À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.

À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.

Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la C-suite, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.

Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :

Voir la ressource
Voir la ressource

Bien que VxWorks ne soit pas un nom familier pour le consommateur moyen, ce produit logiciel profite à de nombreuses personnes comme vous et moi, chaque jour. Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions d'appareils alimentés par VxWorks soient compromis.

Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Pieter Danhieux
Publié le 05 août 2019

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.

Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.

Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.

La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.

Faut-il paniquer ?

En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.

Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.

Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.

Les vulnérabilités URGENT/11 expliquées

À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).

La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.

Que pouvons-nous faire ?

À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.

À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.

Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la C-suite, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.

Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.

Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.

Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.

La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.

Faut-il paniquer ?

En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.

Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.

Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.

Les vulnérabilités URGENT/11 expliquées

À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).

La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.

Que pouvons-nous faire ?

À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.

À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.

Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la C-suite, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.

Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Pieter Danhieux
Publié le 05 août 2019

Directeur général, président et cofondateur

Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Partager sur :

Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.

Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.

Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.

La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.

Faut-il paniquer ?

En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.

Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.

Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.

Les vulnérabilités URGENT/11 expliquées

À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).

La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.

Que pouvons-nous faire ?

À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.

À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.

Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la C-suite, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.

Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Directeur général, président et cofondateur

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles