全球大补丁:VxWorks 漏洞将危及数百万台设备
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
尽管对于普通消费者来说,VxWorks 并不是家喻户晓的名字,但这款软件产品每天都会使许多人受益,就像你我一样。现在,我们面临着数亿台基于VxWorks的设备遭到入侵的可能性。
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Bien que VxWorks ne soit pas vraiment un nom familier pour le consommateur moyen, ce produit logiciel profite inévitablement à de nombreuses personnes comme vous et moi, chaque jour. En tant que système d'exploitation en temps réel (RTOS) le plus populaire au monde, il est le cheval de bataille sur lequel nous nous appuyons (par procuration) pour faire fonctionner les réseaux et les pare-feu des entreprises, les interfaces aérospatiales, les équipements industriels et même certains appareils médicaux, pour ne citer que quelques applications de son utilisation généralisée.
Aujourd'hui, nous sommes confrontés à la possibilité que des centaines de millions, voire des milliards, de ces appareils soient compromis par au moins onze vulnérabilités. Arlen Baker, architecte en chef de la sécurité chez Wind River, a contesté ce chiffre dans un article de SearchSecurity, révélant que la portée exacte n'est pas confirmée et qu'elle n'est pas considérée comme aussi élevée. Malgré cela, nous savons déjà que des violations de données et des attaques se produisent en permanence, mais il s'agit là d'un niveau supérieur : les failles confirmées sont relativement faciles à exploiter, beaucoup d'entre elles ouvrant la porte et permettant aux attaquants de contrôler des appareils à distance par la transmission de paquets réseau.
Wind River a, bien entendu, publié une série de correctifs et de patches à l'intention des clients et associés concernés. Le problème réside dans le grand nombre d'appareils nécessitant la mise à jour du correctif - tout comme Thanos mettant fin au monde d'un simple clic, il est inévitable que de nombreux appareils ne soient pas corrigés, et donc vulnérables, pendant une longue période.
La société de sécurité Armis est à l'origine de cette découverte colossale, qu'elle a baptisée URGENT/11. Elle l'a qualifiée de sérieuse, sans doute en raison de la facilité d'attaque à partir de vecteurs multiples et du potentiel d'infection à grande échelle. Il est tout à fait possible de créer et de déployer un ver dans un logiciel qui alimente tout, des scanners IRM aux produits VOIP, en passant par les réseaux ferroviaires et les feux de signalisation.
Faut-il paniquer ?
En tant que personne qui a fait de la sensibilisation à la sécurité une mission essentielle de sa vie, je vois beaucoup de problèmes de sécurité potentiels au quotidien. Je passerais la majeure partie de ma journée à être hystérique si je me laissais aller à trop paniquer (après tout, je préfère m'atteler à la tâche d'éduquer et d'aider à corriger les bogues !) Cependant, la portée de la découverte URGENT/11 est assez effrayante. Sur les onze vulnérabilités découvertes, six sont considérées comme critiques. Comme l'indique The Hacker News, ces failles existent dans les appareils fonctionnant sous VxWorks depuis la version 6.5 (à l'exclusion des versions conçues pour la certification, notamment VxWorks 653 et VxWorks Cert Edition), ce qui signifie qu'une technologie vitale est menacée par des attaques de prise de contrôle d'appareils depuis plus d'une décennie maintenant. Tous les appareils ne sont pas vulnérables aux onze failles (et certaines ne peuvent être exploitées que si l'attaquant se trouve sur le même sous-réseau LAB), mais même un pirate médiocre n'a besoin que d'une petite fenêtre d'opportunité.
Il est important de noter que Wind River a réagi rapidement et a fourni des conseils détaillés pour atténuer les problèmes, tout comme Armis. De plus, si le RTOS VxWorks est si largement adopté , c'est parce qu' il est très fiable et qu'il obtient d'excellents résultats en matière de sécurité logicielle - en général, les chasseurs de bogues ne s'en préoccupent pas trop. Cependant, les sociétés de sécurité et Wind River ne peuvent pas résoudre tous les problèmes... c'est à l'utilisateur final de télécharger les correctifs, de suivre les conseils de sécurité et de fortifier ses propres appareils, et c'est là que les choses se compliquent.
Il n'y a peut-être pas lieu de paniquer pour l'instant, mais il faudra peut-être un village pour faire plier cette bête.
Les vulnérabilités URGENT/11 expliquées
À ce stade, tout dispositif connecté à la pile TCP/IP IPnet de VxWorks compromise depuis la version 6.5 pourrait être affecté par au moins l'une des CVE URGENT/11. (Pour une liste complète des CVE de Wind River, voir ici).
La plupart de ces failles permettent l'exécution de code à distance (RCE) et des attaques par déni de service, et quelques-unes conduisent également à l'exposition d'informations et à des problèmes de logique commerciale. L'exécution de code à distance est un problème particulièrement sensible dans ce cas, car un attaquant peut prendre le contrôle d'un appareil sans aucune interaction avec l'utilisateur final. Personne n'a besoin de cliquer accidentellement sur quelque chose de suspect, de télécharger quoi que ce soit ou d'entrer ses coordonnées... Cela rend les appareils VxWorks très "vermoulus" et l'attaque prend une vie automatisée qui lui est propre. Vous vous souvenez du ver WannaCry d'EternalBlue ? URGENT/11 a un potentiel similaire, mais plus dévastateur, pour nous donner un mal de tête mondial.
Que pouvons-nous faire ?
À l'heure où nous écrivons ces lignes, les conséquences d'URGENT/11 restent inconnues. Les médias ont sensibilisé l'industrie et Wind River apporte clairement son soutien aux personnes touchées. Les mois à venir révéleront si des attaquants choisissent d'exploiter ces failles connues de manière significative, mais en attendant, la solution évidente est de suivre la pléthore de conseils et de patcher tous les dispositifs concernés dans votre orbite.
À long terme, la mission reste la même : tout le monde doit faire mieux en matière de sécurité des logiciels. Les CVE URGENT/11 sont généralement des portes dérobées d'une simplicité inquiétante, et le fait qu'ils n'aient pas été découverts pendant de nombreuses années témoigne du peu d'intérêt et de sensibilisation de l'ensemble du secteur.
Chaque développeur a la possibilité de faire sa part, et il a besoin de soutien pour apprendre à sécuriser le code dès le début de la production. Les équipes influentes qui les entourent, de l'AppSec à la cadres supérieurs, peuvent s'assurer qu'une culture de la sécurité positive se développe à chaque point de contact logiciel au sein de l'entreprise.
Vous voulez tester votre propre sensibilisation à la sécurité ? Notre plateforme gamifiée peut vous proposer des défis de code réels similaires à certains de ceux découverts dans URGENT/11. Testez-les et voyez comment vous vous en sortez :
- Débordement de tas dans l'analyse des offres/ACK DHCP dans ipdhcpc (CVE-2019-12257)
Corruption de mémoire - débordement de tas - Connexion TCP DoS via des options TCP malformées (CVE-2019-12258)
Protection insuffisante de la couche transport - Transport non protégé d'informations sensibles - Faille logique dans l'attribution d'IPv4 par le client DHCP ipdhcpc (CVE-2019-12264).
Défauts de logique d'entreprise - DoS via une déréférence NULL dans l'analyse IGMP (CVE-2019-12259)
Corruption de mémoire - déréférencement nul - Fuite d'informations IGMP via le rapport d'adhésion spécifique à IGMPv3 (CVE-2019-12265).
Exposition d'informations - Exposition de données sensibles
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
