Theo một báo cáo mới được chia sẻ của Armis, , các lỗ hổng được gọi chung là URGENT/11 vì chúng có tổng cộng 11, trong đó có 6 lỗ hổng nghiêm trọng dẫn đến các cuộc tấn công mạng ‘tàn phá’.

Armis Labs là cùng một công ty bảo mật IoT đã phát hiện ra các lỗ hổng BlueBorne trong giao thức Bluetooth, đã ảnh hưởng đến hơn 5,3 tỷ thiết bị, từ Android, iOS, Windows và Linux đến Internet vạn vật (IoT).

Các lỗ hổng này có thể cho phép kẻ tấn công từ xa bỏ qua các giải pháp bảo mật truyền thống và kiểm soát hoàn toàn các thiết bị bị ảnh hưởng hoặc “gây ra sự gián đoạn trên quy mô tương tự như lỗ hổng EternalBlue”, mà không yêu cầu bất kỳ tương tác người dùng nào, các nhà nghiên cứu cho biết.

Có thể nhiều người trong số các bạn có thể chưa bao giờ nghe về hệ điều hành này, nhưng Wind River VxWorks đang được sử dụng để chạy nhiều thứ hàng ngày như webcam, bộ chuyển mạch mạng, bộ định tuyến, tường lửa, điện thoại VOIP, máy in và sản phẩm hội nghị truyền hình, cũng như đèn giao thông.

Bên cạnh đó, VxWorks cũng đang được sử dụng bởi các hệ thống quan trọng bao gồm SCADA, xe lửa, thang máy và bộ điều khiển công nghiệp, màn hình bệnh nhân, máy MRI, modem vệ tinh, hệ thống WiFi trên máy bay và thậm chí cả xe tự hành trên sao Hoả.

URGENT/11 – Lỗ hổng bảo mật trong VxWorks RTOS

Các lỗ hổng URGENT/11 được báo cáo nằm trong ngăn xếp mạng TCP/IP của RTOS được bao gồm trong VxWorks kể từ phiên bản 6.5, dường như khiến tất cả các phiên bản VxWorks được phát hành trong 13 năm qua dễ bị tấn công tiếp quản thiết bị.

Tất cả 6 lỗ hổng nghiêm trọng cho phép kẻ tấn công kích hoạt các cuộc tấn công thực thi mã từ xa (RCE) và các lỗ hổng còn lại có thể dẫn đến từ chối dịch vụ, rò rỉ thông tin hoặc lỗ hổng logic.

Lỗ hổng thực thi mã từ xa nghiêm trọng:

• Tràn ngăn xếp (stack overflow) trong phân tích cú pháp các tùy chọn IPv4 (CVE-2019-12256)
• 4 lỗ hổng làm hỏng bộ nhớ xuất phát từ việc xử lý sai trường TCP’s Urgent Pointer (CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263)
• Heap overflow trong DHCP Offer/ACK phân tích cú pháp trong ipdhcpc (CVE-2019-12257)

DoS, rò rỉ thông tin và lỗ hổng logic:

• Kết nối TCP DoS thông qua các tùy chọn TCP không đúng định dạng (CVE-2019-12258)
• Xử lý các phản hồi Reverse ARP không được yêu cầu (Lỗ hổng logic) (CVE-2019-12262)
• Lỗ hổng logic trong việc gán IPv4 bởi ứng dụng khách ipdhcpc DHCP (CVE-2019-12264)
• DoS thông qua sự tham gia của NULL trong phân tích cú pháp IGMP (CVE-2019-12259)
• Thông tin IGMP bị rò rỉ thông qua báo cáo thành viên cụ thể của IGMPv3 (CVE-2019-12265)

Tất cả các lỗ hổng này có thể bị khai thác bởi kẻ tấn công từ xa, không được xác thực chỉ bằng cách gửi gói TCP được chế tạo đặc biệt đến một thiết bị bị ảnh hưởng mà không yêu cầu bất kỳ tương tác người dùng hoặc thông tin nào trước đó về thiết bị được nhắm mục tiêu.

Tuy nhiên, mỗi phiên bản VxWorks kể từ 6.5 không dễ bị tổn thương đối với tất cả 11 lỗ hổng, nhưng ít nhất một lỗ hổng RCE quan trọng ảnh hưởng đến từng phiên bản của hệ điều hành thời gian thực.

“VxWorks bao gồm một số giảm thiểu tùy chọn có thể làm cho một số lỗ hổng URGENT/11 khó khai thác hơn, nhưng những giảm thiểu này hiếm khi được các nhà sản xuất thiết bị sử dụng”, các nhà nghiên cứu cho biết.

Các nhà nghiên cứu của Armis tin rằng lỗ hổng URGENT/11 cũng có thể ảnh hưởng đến các thiết bị sử dụng các hệ điều hành thời gian thực khác, vì IPnet đã được sử dụng trong các hệ điều hành khác trước khi VxWorks mua lại vào năm 2006.

Kẻ tấn công từ xa có thể khai thác lỗ hổng VxWorks như thế nào?

Việc khai thác lỗ hổng VxWorks IPnet cũng phụ thuộc vào vị trí của kẻ tấn công và thiết bị dễ bị tấn công nhắm mục tiêu; Rốt cuộc, các gói mạng của kẻ tấn công sẽ tiếp cận hệ thống dễ bị tấn công.

Theo các nhà nghiên cứu, bề mặt mối đe dọa của lỗ hổng URGENT/11 có thể được chia thành 3 kịch bản tấn công, như được giải thích dưới đây:

Kịch bản 1: Tấn công phòng thủ của mạng (Network’s Defenses)

Vì VxWorks cũng cấp sức mạnh cho các thiết bị mạng và bảo mật như thiết bị chuyển mạch, bộ định tuyến và tường lửa thường có thể truy cập qua Internet công cộng, kẻ tấn công từ xa có thể tiến hành một cuộc tấn công trực tiếp vào các thiết bị đó, kiểm soát hoàn toàn chúng và sau đó, qua các mạng phía sau họ.

Ví dụ, có hơn 775.000 tường lửa SoniceWall được kết nối với Internet tại thời điểm viết chạy VxWorks RTOS, theo công cụ tìm kiếm Shodan.

Kịch bản 2: Tấn công từ bên ngoài mạng bypass bảo mật

Bên cạnh việc nhắm mục tiêu các thiết bị được kết nối Internet, kẻ tấn công cũng có thể cố gắng nhắm mục tiêu các thiết bị IoT không được kết nối trực tiếp với Internet nhưng giao tiếp với ứng dụng dựa trên đám mây được bảo vệ đằng sau tường lửa hoặc giải pháp NAT.

Theo các nhà nghiên cứu, kẻ tấn công tiềm năng có thể sử dụng phần mềm độc hại thay đổi DNS hoặc tấn công man-in-the-middle để chặn kết nối TCP của thiết bị nhắm mục tiêu vào đám mây và khởi động một cuộc tấn công thực thi mã từ xa vào nó.

Kịch bản 3: Tấn công từ bên trong mạng

Trong kịch bản này, kẻ tấn công đã tự định vị trong mạng do cuộc tấn công trước đó có thể khởi động các cuộc tấn công chống lại các thiết bị được hỗ trợ VxWorks bị ảnh hưởng ngay cả khi chúng không có kết nối trực tiếp với Internet.

“Các lỗ hổng trong các thiết bị IoT và không được quản lý này có thể được tận dụng để thao túng dữ liệu, phá vỡ thiết bị thế giới vật lý và khiến cuộc sống của mọi người gặp nguy hiểm”, Yevgeny Dibrov, CEO và đồng sáng lập của Armis nói.

“Một bộ điều khiển công nghiệp bị xâm nhập có thể đóng cửa một nhà máy, và một máy theo dõi bệnh nhân bị mắc bệnh có thể gây ra hậu quả đe dọa đến tính mạng.”

Tuy nhiên, các nhà nghiên cứu cũng xác nhận rằng các lỗ hổng này không ảnh hưởng đến các biến thể khác của VxWorks được thiết kế để chứng nhận, chẳng hạn như VxWorks 653 và VxWorks Cert Edition.

Armis đã báo cáo các lỗ hổng này cho Wind River Systems một cách có trách nhiệm và công ty đã thông báo cho một số nhà sản xuất thiết bị và phát hành các bản vá để giải quyết các lỗ hổng này vào tháng trước.

Trong khi đó, các nhà cung cấp sản phẩm bị ảnh hưởng cũng đang trong quá trình phát hành bản vá cho khách hàng của họ, điều mà các nhà nghiên cứu tin rằng sẽ mất thời gian và khó khăn, như thường xảy ra khi nói đến IoT và các cập nhật cơ sở hạ tầng quan trọng. SonicWall và Xerox đã phát hành bản vá cho các thiết bị tường lửa và máy in của họ.

Nguồn:Critical Flaws Found in VxWorks RTOS That Powers Over Two Billion Devices