Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità multiple 0-day in VxWorks

remote code execution  Urgent/11  VxWorks   giovedì, 1 agosto 2019

È stata recentemente resa nota la presenza di una serie di vulnerabilità molto gravi all’interno dei sistemi operativi VxWorks prodotti da Wind River. VxWorks è un sistema operativo real-time (RTOS) utilizzato in oltre due miliardi di dispositivi diffusi in svariati ambiti: IoT (ad es., Xerox, LG Electronics, IBM, Epson), in ambienti industriali (ad es., ABB, Mitsubishi Electric, Schneider Electric, Siemens) nei settori aerospaziali, automobilistico ed in equipaggiamenti di rete diffusi anche in ambito enterprise (ad es., Sonicwall, Huawei, Fujitsu, Avaya).

Come segnalato al CERT Nazionale dalla società Yoroi, le criticità sono note con l’alias “Urgent/11” ed includono i seguenti 11 identificativi CVE: CVE-2019-12256, CVE-2019-12257, CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263, CVE-2019-12258, CVE-2019-12259, CVE-2019-12262, CVE-2019-12264, CVE-2019-12265.

Alcune di queste vulnerabilità derivano da falle nella gestione della memoria nello stack di rete TCP/IP (IPnet) presente all’interno dei sistemi operativi VxWorks e possono essere sfruttate da attaccanti di rete per eseguire codice arbitrario sui dispositivi bersaglio. Questa serie di vulnerabilità può essere sfruttata sia da cyber-criminali opportunistici che da gruppi APT specializzati in diversi scenari di attacco, quali ad esempio:

  • compromissione diretta di sistemi perimetrali vulnerabili (ad es., firewall);
  • infiltrazione in dispositivi IoT non esposti su Internet (ad es., stampanti) sfruttando tecniche di man-in-the-middle a livello di rete, anche a monte del perimetro aziendale (ad es., compromissioni di Provider Internet, attacchi BGP, alterazioni DNS);
  • propagazione in reti protette, ad esempio mediante compromissione di dispositivi industriali critici come PLC e dispositivi medici.

Il produttore Wind River ha confermato la presenza della vulnerabilità nelle seguenti versioni del sistema operativo VxWorks:

  • VxWorks 7 SR540 e VxWorks 7 SR610
  • VxWorks 6.9.4.11 e versioni precedenti
  • Tecnologie Wind River Advanced Networking Technologies
  • IPnet network stack (precedenti al 2006)

Non risultano invece afflitte le seguenti versioni:

  • VxWorks dalla versione 5.3 alla 6.4
  • VxWorks Cert
  • VxWorks 653 versioni 2.x e precedenti
  • VxWorks 653 MCE 3.x Cert Edition

A causa della gravità delle vulnerabilità in oggetto, della potenziale diffusione ed esposizione dei sistemi coinvolti dalle problematiche, della loro criticità e dell’imminente rilascio di dettagli tecnici e codice proof-of-concept, si raccomanda di verificare la disponibilità di aggiornamenti presso i produttori dei dispositivi basati su VxWorks presenti all’interno delle proprie reti e di  pianificarne l’installazione con urgenza.

Per informazioni più dettagliate su queste vulnerabilità e sugli aggiornamenti disponibili, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamento di sicurezza Android (dicembre 2019)

4 dicembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di dicembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto