naked security by Sophos
Schwachstellen im VxWorks-Echtzeitbetriebssystem (RTOS) betreffen über 200 Mio Geräte
Das am häufigsten verwendete Betriebssystem, das kaum einer kennt
Security-Forscher von Armis Labs haben 11 potenziell schwerwiegende Sicherheitslücken entdeckt, die das Wind River VxWorks-Echtzeitbetriebssystem (RTOS) betreffen und vom Unternehmen als „das am häufigsten verwendete Betriebssystem, von dem Sie vielleicht noch nie gehört haben“ bezeichnet wird.
Die von Armis Labs als Urgent/11 bezeichneten Fehler betreffen schätzungsweise 200 Millionen Geräte, die auf eine frühere Version von VxWorks im Jahr 2006 zurückgehen, darunter Router, Modems, Firewalls, Drucker, VoIP-Telefone, SCADA-Systeme, IoT und sogar MRI-Maschinen und Aufzüge.
Diese Vielfalt und das Volumen der Geräte erschaffen ein riesiges Patch-Job-Problem, da viele ihrer derzeitigen Besitzer möglicherweise nicht einmal bemerken, dass sie VxWorks verwenden, insbesondere wenn ein Gerät einige Jahre alt ist.
Das spezifische Problem liegt im TCP / IP-Stack (IPnet) von VxWorks, der Teil eines Software-Stacks ist, der 1987 zum ersten Mal auf den Markt kam und in dieser Zeit offenbar kaum Sicherheitslücken aufwies.
Echtzeit System
Aber was ist ein RTOS? Die kurze Antwort lautet: RTOS wird von Geräten verwendet, die eine schnelle Reaktion (daher "Echtzeit") gewährleisten müssen. Dabei ist Zuverlässigkeit wichtiger als die Rechenleistung.
Beispielsweise verwenden Fahrzeug-Airbag-Systeme das System RTOS, um sicherzustellen, dass der Sack genau zum richtigen Zeitpunkt aufgeblasen wird – weder zu früh noch zu spät.
Das und sein 32-jähriges Erbe erklären, warum Wind Rivers VxWorks von zwei Milliarden Geräten verwendet wird, auch wenn die neu entdeckten Sicherheitslücken nur eine Teilmenge davon betreffen.
„Der tatsächliche Umfang der VxWorks-Geräte ist erstaunlich, darunter Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC und Arris“, schreibt Armis Labs.
Die Schwachstellen
Die Liste der 11 CVEs, die vor einiger Zeit an Wind River gemeldet wurden (Einzelheiten finden Sie im offiziellen Alert ), enthält sechs kritische RCE-Fehler (Remote Code Execution) sowie fünf weniger schwerwiegende Probleme, die zu Denial-of-Service, Informationslecks oder Logikfehlern führen können (obwohl ein DoS-Status in einem RTOS immer noch große Kopfschmerzen verursachen kann).
Die Hauptsorge ist aber, dass die Ausnutzung der Fehler bei Geräten, auf die über das Internet oder lokal zugegriffen werden kann, relativ einfach und gleichzeitig schwer zu erkennen ist.
Laut Armis Labs könnten Angreifer über den TCP / IP-Stack ohne Benutzer-Interaktion, die Kontrolle über betroffene Geräte übernehmen. Firewalls sind dabei nicht in der Lage, solche Angriffe zu erkennen oder zu stoppen. Auch der Einsatz der betroffenen Software ist selbst wiederum einem direkten Risiko ausgesetzt.
Betroffene Versionen und Fehlerbehebungen
Alle Versionen von VxWorks seit 6.5, die 2006 veröffentlicht wurden, sind betroffen (das Jahr, in dem Wind River die Software erworben hat). Einige ältere Versionen, in denen die Software als eigenständiger TCP / IP-Stack verwendet wurde, sind möglicherweise auch betroffen, zusätzlich zu den abgekündigten Versionen von Wind River Advanced Networking Technologies.
VxWorks 653 und VxWorks Cert Edition, die in sicherheitskritischen Systemen verwendet werden, sind nicht betroffen. Wind River hat am 19. Juli Patches für die Mängel herausgegeben, die dringend angewendet werden sollten. In einigen Fällen könnte es möglich sein, die Fehler mithilfe von Firewall-Regeln oder durch Quellcode-Optimierungen zu beheben, erläutert Armis Labs.
Aufgrund der Gerätevielfalt wird den Eigentümern empfohlen, sich bezüglich Updates an ihre Gerätehersteller zu wenden. Etwas beruhigend wirkt der Umstand, dass die Security- Forscher die potenziell schwerwiegende Mängel bereits vor einiger aufgedeckt haben und vor der Veröffentlichung, dem Anbieter genügend Zeit gegeben haben entsprechende Patches herauszugeben. Das Problem ist natürlich, dass diese Patches tatsächlich auf eine große Anzahl von Geräten angewendet werden, die der Besitzer möglicherweise nicht im Detail versteht und für deren Arbeit häufig Spezialkenntnisse erforderlich sind.
Urgent / 11 könnte sich somit als die schwierigste IoT-Herausforderung der Welt herausstellen.
naked security by Sophos
