Industriële en medische systemen kwetsbaar door VxWorks-lekken
Elf kwetsbaarheden in het veelgebruikte besturingssysteem VxWorks zorgen ervoor dat industriële en medische systemen kwetsbaar voor aanvallen zijn. Wind River, ontwikkelaar van het platform, heeft inmiddels beveiligingsupdates uitgebracht. Meer dan 2 miljard apparaten draaien op VxWorks, waaronder apparaten in de industriële, medische en vitale sectoren.
Het gaat onder andere om apparaten van Siemens, ABB, Emerson Electric, Rockwell, Mitsubishi, Samsung, Ricoh, Xerox, NEC en Arris. Zes van de kwetsbaarheden maken het mogelijk voor een aanvaller om op afstand willekeurige code uit te voeren, zonder dat er enige interactie van gebruikers is vereist. Via de andere lekken is het mogelijk een denial of service te veroorzaken of informatie te achterhalen. De beveiligingslekken werden gevonden door securitybedrijf Armis.
Volgens het bedrijf kunnen de kwetsbaarheden door een worm worden gebruikt en biedt het aanvallers de mogelijkheid om de netwerkbeveiliging van een organisatie te omzeilen of aan te vallen. Ter demonstratie laat het bedrijf drie aanvallen zien waarbij een patiëntenmonitor, firewall en printer op afstand worden overgenomen.
Organisaties krijgen het advies om de laatste updates voor hun producten te installeren. De Canadese overheid adviseert daarnaast om netwerken te segmenteren, apparaten niet toegankelijk vanaf het internet te maken, controlesystemen en remote apparaten achter firewalls van bedrijfsnetwerken te isoleren en een vpn voor remote toegang te gebruiken.
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Zal wel even duren voordat de meer dan 2 miljard devices geupdate worden.... Als ze al geupdate gaan worden.
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".
Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.
Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/
The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.
“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”
Dan maar te hopen dat niet een van de volgende systeembeheerder blunders in zulke omgevingen ooit plaatsvinden:
https://computerworld.nl/security/90318-10-enorme-beveiligingsblunders-van-systeembeheerders
Info credits for that article in the link go to Famida.Y. Rashid.(Engelstalig).
#sockpuppet
Dit is best een groot issue.Voornamelijk omdat het op TCP verkeer al fout gaat. Juist VxWorks stond bekend als veilig en wordt heel veel gebruikt.
Ik heb nooit het beeld gehad dat VxWorks bekend stond als 'veilig' .
Wel als een solide RTOS , en in dat domein inderdaad veel gebruikt , maar dat is niet hetzelfde als 'veilig' in de context "beschermd (en beschermt) tegen malicious verkeer en users ".
Ik denk dat heel veel vulnerability researchers gewoon tot nog toe weinig in de embedded niche gewerkt en gekeken hebben, en dat er daar nog een hoop laaghangend fruit te oogsten valt.
Vast en zeker - Het _is_ een een heel veel gebruikt OS voor real time control zaken . Kerncentrales hebben feitelijk dezelfde behoeften qua regeltechniek als een hoop andere takken van de procesindustrie.
Nee: https://www.wired.com/story/vxworks-vulnerabilities-urgent11/
"And while the vulnerabilities have a very broad reach, both Armis and Wind River emphasized to WIRED that they are not present in the latest version of VxWorks or Wind River's "certification" versions, like VxWorks 653 and VxWorks Cert Edition. This means that critical infrastructure settings like nuclear power plants are not vulnerable."
Ok, dan valt dat risico misschien mee. OTOH, zou men er in de critical infrastructure inderdaad in geslaagd zijn om niks anders dan de Cert Edition gebruikt te krijgen ?
Ik heb niet kunnen vinden sinds wanneer die cert edition bestaat- mogelijk is het een recentere toevoeging aan de product portfolio, en dan kun je je afvragen of oudere installaties hun controlsystemen geupdate hebben.
Quotes uit
https://threatpost.com/urgent-11-critical-infrastructure-eternalblue/146731/
The good news is that URGENT/11 does not impact versions of the product designed for certification, such as VxWorks 653 and VxWorks Cert Edition – meaning that nuclear power plants and the like are probably not at risk, the researchers told Threatpost. However, Seri said not to rest too easy in that assessment.
“We don’t know why it doesn’t impact Certified, and gaining access to these kinds of systems is very hard, it’s a very protected, closed system,” he explained. “So URGENT/11 might be the tip of the iceberg in terms of flaws found, and we hope this paves the way for other researchers to take a look at these platforms.”
Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
Cert Edition of niet, kerncentrale controle systemen zijn galvanisch gescheiden van de buitenwereld dus remote overnemen van die systemen is gewoon onmogelijk.....
Galvanische scheiding? Het is tegenwoordig allemaal draadloos dude. Wie gebruikt er nou nog wired?
https://en.1jux.net/570613
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.