Correctif mondial remarquable : vulnérabilité VxWorks susceptible d'affecter des millions d'appareils
VxWorks n'est pas un produit bien connu du grand public. Ce logiciel apporte inévitablement des avantages quotidiens à de nombreuses personnes, y compris vous-même et moi-même. Ce logiciel, qui est le système d'exploitation temps réel (RTOS) le plus populaire au monde, est un produit phare utilisé via des proxys pour alimenter les réseaux d'entreprise et les pare-feu, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux. Pour citer quelques exemples d'applications largement utilisées.
Et aujourd'hui, nous sommes confrontés à la possibilité de perdre des centaines de millions de dollars. Plus de 11 vulnérabilités ont été découvertes à ce jour dans cesappareils. Arlen Baker, concepteur en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article. La sécurité des recherches, dont la portée exacte n'a pas été confirmée, ne semble pas être aussi élevée. Néanmoins, nous savons déjà que les violations de données et les attaques sont monnaie courante, mais cela représente un niveau supérieur. Les failles identifiées peuvent être exploitées relativement facilement et permettent pour la plupart aux attaquants de contrôler à distance les appareils via la transmission de paquets réseau.
Wind River a bien sûr publié une série de correctifs et de mises à jour pour les clients et les employés concernés. Le problème réside dans le nombre considérable d'appareils nécessitant une mise à jour. Tout comme Thanos a détruit le monde d'un simple claquement de doigts, de nombreux appareils inévitablement non corrigés resteront vulnérables pendant une longue période.
La société de sécurité Armis a été à l'origine de cette découverte majeure. Urgent/11. Les chercheurs ont conclu sans aucun doute qu'il s'agissait d'une menace grave, car elle pouvait être facilement propagée par divers vecteurs et entraîner une infection à grande échelle. Il est tout à fait possible de créer et de diffuser un ver dans les logiciels qui font fonctionner tout, des scanners IRM et des produits VOIP aux réseaux ferroviaires et aux feux de signalisation.
Est-ce le moment de s'inquiéter ?
En tant que personne pour qui la sensibilisation à la sécurité est une mission essentielle dans la vie, je suis confronté quotidiennement à de nombreux problèmes de sécurité potentiels. Si je me laissais envahir par la panique, je passerais la majeure partie de ma journée dans un état d'hystérie. (Après tout, je préfère me consacrer à l'éducation et à la correction des bogues !).Cependant, l'étendue des vulnérabilités découvertes par URGENT/11 est assez inquiétante. Six des onze vulnérabilités découvertes sont considérées comme graves. Il a été confirmé que ces vulnérabilités existent sur les appareils exécutant VxWorks depuis la version 6.5 de Hacker News (à l'exception des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition). Cela signifie que certaines technologies importantes sont exposées depuis plus de dix ans à des attaques visant à prendre le contrôle des appareils. Tous les appareils ne sont pas vulnérables aux 11 failles (certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais un pirate informatique moyen n'a besoin que d'une seule occasion pour réussir.
Il est important de noter que Wind River a agi rapidement et fourni des conseils détaillés. Tout comme Armis , il s'agit d'atténuer le problème. De plus, le RTOS VxWorks est très largement adopté. En effet, il est très stable et a obtenu d'excellentes notes en matière de sécurité logicielle. En général, les chasseurs de primes ne s'en soucient guère. Cependant, les sociétés de sécurité et Wind River ne peuvent pas faire grand-chose pour résoudre le problème. Il appartient à l'utilisateur final de télécharger les correctifs, de prendre connaissance des conseils de sécurité et de renforcer ses propres appareils, ce qui est précisément ce qui pose problème.
Il n'est pas nécessaire de s'inquiéter pour l'instant, mais il se peut que nous ayons besoin du village pour vaincre cette bête.
Urgent/11 Description de la vulnérabilité
À ce stade, tous les appareils connectés à la pile IPNet TCP/IP VxWorks endommagée depuis la version 6.5 peuvent être affectés par au moins l'une des vulnérabilités URGENT/11. (Veuillez consulter la liste complète des CVE de Wind River ici).
Ces vulnérabilités permettent généralement des attaques par exécution de code à distance (RCE) et par déni de service, dont certaines entraînent la divulgation d'informations. Il en va de même pour les problèmes liés à la logique métier. Dans ce cas, l'exécution de code à distance est particulièrement préoccupante, car elle permet à un attaquant de prendre le contrôle d'un appareil sans aucune interaction de la part de l'utilisateur final. Il n'est pas nécessaire que quelqu'un clique accidentellement sur un élément suspect, télécharge un fichier ou saisisse des informations. Cela rend les appareils VxWorks extrêmement « exploitables » et l'attaque elle-même prend une dimension automatisée. Vous vous souvenez du ver WannaCry, produit par EternalBlue ? URGENT/11 est similaire, mais présente un potentiel plus destructeur qui pourrait causer des problèmes à l'échelle mondiale.
Que pouvons-nous faire à ce sujet ?
À l'heure où nous écrivons ces lignes, les résultats de l'URGENT/11 ne sont pas encore connus. Les médias ont suscité un vif intérêt dans le secteur, et Wind River apporte un soutien indéfectible aux personnes touchées. Les prochains mois nous diront si des attaquants cherchent à exploiter ces failles connues de manière significative. En attendant, la meilleure solution consiste à suivre les nombreux conseils prodigués et à appliquer les correctifs aux appareils concernés.
À long terme, notre mission reste la même : améliorer les performances de tous en matière de sécurité logicielle. URGENT/11 CVE est généralement une porte dérobée préoccupante et simple, et le fait qu'elle soit restée longtemps inconnue témoigne du manque de sensibilisation et de préoccupation de l'ensemble du secteur.
Tous les développeurs ont l'opportunité de jouer leur rôle et ont besoin d'aide pour apprendre les méthodes de sécurité du code dès le début du développement. De la sécurité des applications à la haute direction, la présence d'équipes influentes autour de vous permet de favoriser une culture de sécurité positive à tous les points de contact logiciels de l'entreprise.
Souhaitez-vous évaluer votre niveau de sécurité informatique ? Notre plateforme ludique vous permet de résoudre des problèmes de code réels similaires à ceux détectés par URGENT/11. Nous vous invitons à l'essayer et à évaluer vos compétences.
- Débordement de pile dans l'analyse syntaxique des offres/accusés de réception DHCP de l'ipdhcpc (CVE-2019-12257)
Corruption de mémoire - Débordement de pile - Attaque par déni de service (DoS) via une connexion TCP utilisant des options TCP mal formatées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transmission non sécurisée d'informations sensibles - Faille logique dans l'attribution IPv4 par le client DHCP (CVE-2019-12264)
Faille dans la logique métier - DoS via une référence nulle dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - référence nulle - Fuite d'informations IGMP via un rapport de membre spécifique IGMPv3 (CVE-2019-12265)
Divulgation d'informations - Divulgation de données sensibles
Bien que VxWorks ne soit pas un nom familier pour le grand public, ce logiciel apporte des avantages quotidiens à de nombreuses personnes, y compris vous-même et moi-même. Actuellement, des centaines de millions d'appareils basés sur VxWorks sont exposés à un risque de compromission.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
VxWorks n'est pas un produit bien connu du grand public. Ce logiciel apporte inévitablement des avantages quotidiens à de nombreuses personnes, y compris vous-même et moi-même. Ce logiciel, qui est le système d'exploitation temps réel (RTOS) le plus populaire au monde, est un produit phare utilisé via des proxys pour alimenter les réseaux d'entreprise et les pare-feu, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux. Pour citer quelques exemples d'applications largement utilisées.
Et aujourd'hui, nous sommes confrontés à la possibilité de perdre des centaines de millions de dollars. Plus de 11 vulnérabilités ont été découvertes à ce jour dans cesappareils. Arlen Baker, concepteur en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article. La sécurité des recherches, dont la portée exacte n'a pas été confirmée, ne semble pas être aussi élevée. Néanmoins, nous savons déjà que les violations de données et les attaques sont monnaie courante, mais cela représente un niveau supérieur. Les failles identifiées peuvent être exploitées relativement facilement et permettent pour la plupart aux attaquants de contrôler à distance les appareils via la transmission de paquets réseau.
Wind River a bien sûr publié une série de correctifs et de mises à jour pour les clients et les employés concernés. Le problème réside dans le nombre considérable d'appareils nécessitant une mise à jour. Tout comme Thanos a détruit le monde d'un simple claquement de doigts, de nombreux appareils inévitablement non corrigés resteront vulnérables pendant une longue période.
La société de sécurité Armis a été à l'origine de cette découverte majeure. Urgent/11. Les chercheurs ont conclu sans aucun doute qu'il s'agissait d'une menace grave, car elle pouvait être facilement propagée par divers vecteurs et entraîner une infection à grande échelle. Il est tout à fait possible de créer et de diffuser un ver dans les logiciels qui font fonctionner tout, des scanners IRM et des produits VOIP aux réseaux ferroviaires et aux feux de signalisation.
Est-ce le moment de s'inquiéter ?
En tant que personne pour qui la sensibilisation à la sécurité est une mission essentielle dans la vie, je suis confronté quotidiennement à de nombreux problèmes de sécurité potentiels. Si je me laissais envahir par la panique, je passerais la majeure partie de ma journée dans un état d'hystérie. (Après tout, je préfère me consacrer à l'éducation et à la correction des bogues !).Cependant, l'étendue des vulnérabilités découvertes par URGENT/11 est assez inquiétante. Six des onze vulnérabilités découvertes sont considérées comme graves. Il a été confirmé que ces vulnérabilités existent sur les appareils exécutant VxWorks depuis la version 6.5 de Hacker News (à l'exception des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition). Cela signifie que certaines technologies importantes sont exposées depuis plus de dix ans à des attaques visant à prendre le contrôle des appareils. Tous les appareils ne sont pas vulnérables aux 11 failles (certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais un pirate informatique moyen n'a besoin que d'une seule occasion pour réussir.
Il est important de noter que Wind River a agi rapidement et fourni des conseils détaillés. Tout comme Armis , il s'agit d'atténuer le problème. De plus, le RTOS VxWorks est très largement adopté. En effet, il est très stable et a obtenu d'excellentes notes en matière de sécurité logicielle. En général, les chasseurs de primes ne s'en soucient guère. Cependant, les sociétés de sécurité et Wind River ne peuvent pas faire grand-chose pour résoudre le problème. Il appartient à l'utilisateur final de télécharger les correctifs, de prendre connaissance des conseils de sécurité et de renforcer ses propres appareils, ce qui est précisément ce qui pose problème.
Il n'est pas nécessaire de s'inquiéter pour l'instant, mais il se peut que nous ayons besoin du village pour vaincre cette bête.
Urgent/11 Description de la vulnérabilité
À ce stade, tous les appareils connectés à la pile IPNet TCP/IP VxWorks endommagée depuis la version 6.5 peuvent être affectés par au moins l'une des vulnérabilités URGENT/11. (Veuillez consulter la liste complète des CVE de Wind River ici).
Ces vulnérabilités permettent généralement des attaques par exécution de code à distance (RCE) et par déni de service, dont certaines entraînent la divulgation d'informations. Il en va de même pour les problèmes liés à la logique métier. Dans ce cas, l'exécution de code à distance est particulièrement préoccupante, car elle permet à un attaquant de prendre le contrôle d'un appareil sans aucune interaction de la part de l'utilisateur final. Il n'est pas nécessaire que quelqu'un clique accidentellement sur un élément suspect, télécharge un fichier ou saisisse des informations. Cela rend les appareils VxWorks extrêmement « exploitables » et l'attaque elle-même prend une dimension automatisée. Vous vous souvenez du ver WannaCry, produit par EternalBlue ? URGENT/11 est similaire, mais présente un potentiel plus destructeur qui pourrait causer des problèmes à l'échelle mondiale.
Que pouvons-nous faire à ce sujet ?
À l'heure où nous écrivons ces lignes, les résultats de l'URGENT/11 ne sont pas encore connus. Les médias ont suscité un vif intérêt dans le secteur, et Wind River apporte un soutien indéfectible aux personnes touchées. Les prochains mois nous diront si des attaquants cherchent à exploiter ces failles connues de manière significative. En attendant, la meilleure solution consiste à suivre les nombreux conseils prodigués et à appliquer les correctifs aux appareils concernés.
À long terme, notre mission reste la même : améliorer les performances de tous en matière de sécurité logicielle. URGENT/11 CVE est généralement une porte dérobée préoccupante et simple, et le fait qu'elle soit restée longtemps inconnue témoigne du manque de sensibilisation et de préoccupation de l'ensemble du secteur.
Tous les développeurs ont l'opportunité de jouer leur rôle et ont besoin d'aide pour apprendre les méthodes de sécurité du code dès le début du développement. De la sécurité des applications à la haute direction, la présence d'équipes influentes autour de vous permet de favoriser une culture de sécurité positive à tous les points de contact logiciels de l'entreprise.
Souhaitez-vous évaluer votre niveau de sécurité informatique ? Notre plateforme ludique vous permet de résoudre des problèmes de code réels similaires à ceux détectés par URGENT/11. Nous vous invitons à l'essayer et à évaluer vos compétences.
- Débordement de pile dans l'analyse syntaxique des offres/accusés de réception DHCP de l'ipdhcpc (CVE-2019-12257)
Corruption de mémoire - Débordement de pile - Attaque par déni de service (DoS) via une connexion TCP utilisant des options TCP mal formatées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transmission non sécurisée d'informations sensibles - Faille logique dans l'attribution IPv4 par le client DHCP (CVE-2019-12264)
Faille dans la logique métier - DoS via une référence nulle dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - référence nulle - Fuite d'informations IGMP via un rapport de membre spécifique IGMPv3 (CVE-2019-12265)
Divulgation d'informations - Divulgation de données sensibles
VxWorks n'est pas un produit bien connu du grand public. Ce logiciel apporte inévitablement des avantages quotidiens à de nombreuses personnes, y compris vous-même et moi-même. Ce logiciel, qui est le système d'exploitation temps réel (RTOS) le plus populaire au monde, est un produit phare utilisé via des proxys pour alimenter les réseaux d'entreprise et les pare-feu, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux. Pour citer quelques exemples d'applications largement utilisées.
Et aujourd'hui, nous sommes confrontés à la possibilité de perdre des centaines de millions de dollars. Plus de 11 vulnérabilités ont été découvertes à ce jour dans cesappareils. Arlen Baker, concepteur en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article. La sécurité des recherches, dont la portée exacte n'a pas été confirmée, ne semble pas être aussi élevée. Néanmoins, nous savons déjà que les violations de données et les attaques sont monnaie courante, mais cela représente un niveau supérieur. Les failles identifiées peuvent être exploitées relativement facilement et permettent pour la plupart aux attaquants de contrôler à distance les appareils via la transmission de paquets réseau.
Wind River a bien sûr publié une série de correctifs et de mises à jour pour les clients et les employés concernés. Le problème réside dans le nombre considérable d'appareils nécessitant une mise à jour. Tout comme Thanos a détruit le monde d'un simple claquement de doigts, de nombreux appareils inévitablement non corrigés resteront vulnérables pendant une longue période.
La société de sécurité Armis a été à l'origine de cette découverte majeure. Urgent/11. Les chercheurs ont conclu sans aucun doute qu'il s'agissait d'une menace grave, car elle pouvait être facilement propagée par divers vecteurs et entraîner une infection à grande échelle. Il est tout à fait possible de créer et de diffuser un ver dans les logiciels qui font fonctionner tout, des scanners IRM et des produits VOIP aux réseaux ferroviaires et aux feux de signalisation.
Est-ce le moment de s'inquiéter ?
En tant que personne pour qui la sensibilisation à la sécurité est une mission essentielle dans la vie, je suis confronté quotidiennement à de nombreux problèmes de sécurité potentiels. Si je me laissais envahir par la panique, je passerais la majeure partie de ma journée dans un état d'hystérie. (Après tout, je préfère me consacrer à l'éducation et à la correction des bogues !).Cependant, l'étendue des vulnérabilités découvertes par URGENT/11 est assez inquiétante. Six des onze vulnérabilités découvertes sont considérées comme graves. Il a été confirmé que ces vulnérabilités existent sur les appareils exécutant VxWorks depuis la version 6.5 de Hacker News (à l'exception des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition). Cela signifie que certaines technologies importantes sont exposées depuis plus de dix ans à des attaques visant à prendre le contrôle des appareils. Tous les appareils ne sont pas vulnérables aux 11 failles (certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais un pirate informatique moyen n'a besoin que d'une seule occasion pour réussir.
Il est important de noter que Wind River a agi rapidement et fourni des conseils détaillés. Tout comme Armis , il s'agit d'atténuer le problème. De plus, le RTOS VxWorks est très largement adopté. En effet, il est très stable et a obtenu d'excellentes notes en matière de sécurité logicielle. En général, les chasseurs de primes ne s'en soucient guère. Cependant, les sociétés de sécurité et Wind River ne peuvent pas faire grand-chose pour résoudre le problème. Il appartient à l'utilisateur final de télécharger les correctifs, de prendre connaissance des conseils de sécurité et de renforcer ses propres appareils, ce qui est précisément ce qui pose problème.
Il n'est pas nécessaire de s'inquiéter pour l'instant, mais il se peut que nous ayons besoin du village pour vaincre cette bête.
Urgent/11 Description de la vulnérabilité
À ce stade, tous les appareils connectés à la pile IPNet TCP/IP VxWorks endommagée depuis la version 6.5 peuvent être affectés par au moins l'une des vulnérabilités URGENT/11. (Veuillez consulter la liste complète des CVE de Wind River ici).
Ces vulnérabilités permettent généralement des attaques par exécution de code à distance (RCE) et par déni de service, dont certaines entraînent la divulgation d'informations. Il en va de même pour les problèmes liés à la logique métier. Dans ce cas, l'exécution de code à distance est particulièrement préoccupante, car elle permet à un attaquant de prendre le contrôle d'un appareil sans aucune interaction de la part de l'utilisateur final. Il n'est pas nécessaire que quelqu'un clique accidentellement sur un élément suspect, télécharge un fichier ou saisisse des informations. Cela rend les appareils VxWorks extrêmement « exploitables » et l'attaque elle-même prend une dimension automatisée. Vous vous souvenez du ver WannaCry, produit par EternalBlue ? URGENT/11 est similaire, mais présente un potentiel plus destructeur qui pourrait causer des problèmes à l'échelle mondiale.
Que pouvons-nous faire à ce sujet ?
À l'heure où nous écrivons ces lignes, les résultats de l'URGENT/11 ne sont pas encore connus. Les médias ont suscité un vif intérêt dans le secteur, et Wind River apporte un soutien indéfectible aux personnes touchées. Les prochains mois nous diront si des attaquants cherchent à exploiter ces failles connues de manière significative. En attendant, la meilleure solution consiste à suivre les nombreux conseils prodigués et à appliquer les correctifs aux appareils concernés.
À long terme, notre mission reste la même : améliorer les performances de tous en matière de sécurité logicielle. URGENT/11 CVE est généralement une porte dérobée préoccupante et simple, et le fait qu'elle soit restée longtemps inconnue témoigne du manque de sensibilisation et de préoccupation de l'ensemble du secteur.
Tous les développeurs ont l'opportunité de jouer leur rôle et ont besoin d'aide pour apprendre les méthodes de sécurité du code dès le début du développement. De la sécurité des applications à la haute direction, la présence d'équipes influentes autour de vous permet de favoriser une culture de sécurité positive à tous les points de contact logiciels de l'entreprise.
Souhaitez-vous évaluer votre niveau de sécurité informatique ? Notre plateforme ludique vous permet de résoudre des problèmes de code réels similaires à ceux détectés par URGENT/11. Nous vous invitons à l'essayer et à évaluer vos compétences.
- Débordement de pile dans l'analyse syntaxique des offres/accusés de réception DHCP de l'ipdhcpc (CVE-2019-12257)
Corruption de mémoire - Débordement de pile - Attaque par déni de service (DoS) via une connexion TCP utilisant des options TCP mal formatées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transmission non sécurisée d'informations sensibles - Faille logique dans l'attribution IPv4 par le client DHCP (CVE-2019-12264)
Faille dans la logique métier - DoS via une référence nulle dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - référence nulle - Fuite d'informations IGMP via un rapport de membre spécifique IGMPv3 (CVE-2019-12265)
Divulgation d'informations - Divulgation de données sensibles
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
VxWorks n'est pas un produit bien connu du grand public. Ce logiciel apporte inévitablement des avantages quotidiens à de nombreuses personnes, y compris vous-même et moi-même. Ce logiciel, qui est le système d'exploitation temps réel (RTOS) le plus populaire au monde, est un produit phare utilisé via des proxys pour alimenter les réseaux d'entreprise et les pare-feu, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux. Pour citer quelques exemples d'applications largement utilisées.
Et aujourd'hui, nous sommes confrontés à la possibilité de perdre des centaines de millions de dollars. Plus de 11 vulnérabilités ont été découvertes à ce jour dans cesappareils. Arlen Baker, concepteur en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article. La sécurité des recherches, dont la portée exacte n'a pas été confirmée, ne semble pas être aussi élevée. Néanmoins, nous savons déjà que les violations de données et les attaques sont monnaie courante, mais cela représente un niveau supérieur. Les failles identifiées peuvent être exploitées relativement facilement et permettent pour la plupart aux attaquants de contrôler à distance les appareils via la transmission de paquets réseau.
Wind River a bien sûr publié une série de correctifs et de mises à jour pour les clients et les employés concernés. Le problème réside dans le nombre considérable d'appareils nécessitant une mise à jour. Tout comme Thanos a détruit le monde d'un simple claquement de doigts, de nombreux appareils inévitablement non corrigés resteront vulnérables pendant une longue période.
La société de sécurité Armis a été à l'origine de cette découverte majeure. Urgent/11. Les chercheurs ont conclu sans aucun doute qu'il s'agissait d'une menace grave, car elle pouvait être facilement propagée par divers vecteurs et entraîner une infection à grande échelle. Il est tout à fait possible de créer et de diffuser un ver dans les logiciels qui font fonctionner tout, des scanners IRM et des produits VOIP aux réseaux ferroviaires et aux feux de signalisation.
Est-ce le moment de s'inquiéter ?
En tant que personne pour qui la sensibilisation à la sécurité est une mission essentielle dans la vie, je suis confronté quotidiennement à de nombreux problèmes de sécurité potentiels. Si je me laissais envahir par la panique, je passerais la majeure partie de ma journée dans un état d'hystérie. (Après tout, je préfère me consacrer à l'éducation et à la correction des bogues !).Cependant, l'étendue des vulnérabilités découvertes par URGENT/11 est assez inquiétante. Six des onze vulnérabilités découvertes sont considérées comme graves. Il a été confirmé que ces vulnérabilités existent sur les appareils exécutant VxWorks depuis la version 6.5 de Hacker News (à l'exception des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition). Cela signifie que certaines technologies importantes sont exposées depuis plus de dix ans à des attaques visant à prendre le contrôle des appareils. Tous les appareils ne sont pas vulnérables aux 11 failles (certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais un pirate informatique moyen n'a besoin que d'une seule occasion pour réussir.
Il est important de noter que Wind River a agi rapidement et fourni des conseils détaillés. Tout comme Armis , il s'agit d'atténuer le problème. De plus, le RTOS VxWorks est très largement adopté. En effet, il est très stable et a obtenu d'excellentes notes en matière de sécurité logicielle. En général, les chasseurs de primes ne s'en soucient guère. Cependant, les sociétés de sécurité et Wind River ne peuvent pas faire grand-chose pour résoudre le problème. Il appartient à l'utilisateur final de télécharger les correctifs, de prendre connaissance des conseils de sécurité et de renforcer ses propres appareils, ce qui est précisément ce qui pose problème.
Il n'est pas nécessaire de s'inquiéter pour l'instant, mais il se peut que nous ayons besoin du village pour vaincre cette bête.
Urgent/11 Description de la vulnérabilité
À ce stade, tous les appareils connectés à la pile IPNet TCP/IP VxWorks endommagée depuis la version 6.5 peuvent être affectés par au moins l'une des vulnérabilités URGENT/11. (Veuillez consulter la liste complète des CVE de Wind River ici).
Ces vulnérabilités permettent généralement des attaques par exécution de code à distance (RCE) et par déni de service, dont certaines entraînent la divulgation d'informations. Il en va de même pour les problèmes liés à la logique métier. Dans ce cas, l'exécution de code à distance est particulièrement préoccupante, car elle permet à un attaquant de prendre le contrôle d'un appareil sans aucune interaction de la part de l'utilisateur final. Il n'est pas nécessaire que quelqu'un clique accidentellement sur un élément suspect, télécharge un fichier ou saisisse des informations. Cela rend les appareils VxWorks extrêmement « exploitables » et l'attaque elle-même prend une dimension automatisée. Vous vous souvenez du ver WannaCry, produit par EternalBlue ? URGENT/11 est similaire, mais présente un potentiel plus destructeur qui pourrait causer des problèmes à l'échelle mondiale.
Que pouvons-nous faire à ce sujet ?
À l'heure où nous écrivons ces lignes, les résultats de l'URGENT/11 ne sont pas encore connus. Les médias ont suscité un vif intérêt dans le secteur, et Wind River apporte un soutien indéfectible aux personnes touchées. Les prochains mois nous diront si des attaquants cherchent à exploiter ces failles connues de manière significative. En attendant, la meilleure solution consiste à suivre les nombreux conseils prodigués et à appliquer les correctifs aux appareils concernés.
À long terme, notre mission reste la même : améliorer les performances de tous en matière de sécurité logicielle. URGENT/11 CVE est généralement une porte dérobée préoccupante et simple, et le fait qu'elle soit restée longtemps inconnue témoigne du manque de sensibilisation et de préoccupation de l'ensemble du secteur.
Tous les développeurs ont l'opportunité de jouer leur rôle et ont besoin d'aide pour apprendre les méthodes de sécurité du code dès le début du développement. De la sécurité des applications à la haute direction, la présence d'équipes influentes autour de vous permet de favoriser une culture de sécurité positive à tous les points de contact logiciels de l'entreprise.
Souhaitez-vous évaluer votre niveau de sécurité informatique ? Notre plateforme ludique vous permet de résoudre des problèmes de code réels similaires à ceux détectés par URGENT/11. Nous vous invitons à l'essayer et à évaluer vos compétences.
- Débordement de pile dans l'analyse syntaxique des offres/accusés de réception DHCP de l'ipdhcpc (CVE-2019-12257)
Corruption de mémoire - Débordement de pile - Attaque par déni de service (DoS) via une connexion TCP utilisant des options TCP mal formatées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transmission non sécurisée d'informations sensibles - Faille logique dans l'attribution IPv4 par le client DHCP (CVE-2019-12264)
Faille dans la logique métier - DoS via une référence nulle dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - référence nulle - Fuite d'informations IGMP via un rapport de membre spécifique IGMPv3 (CVE-2019-12265)
Divulgation d'informations - Divulgation de données sensibles
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
