VARSEL (TLP:CLEAR)

[JustisCERT-varsel] Kritiske sårbarheter i VxWorks

01-08-2019

Det er offentliggjort 11 null-dagssårbarheter i VxWorks. VxWorks betegnes som det mest brukte operativsystemet man aldri har hørt om. Dette fordi det er et produkt som virksomheter normalt sett ikke anskaffer selv, men et operativsystem som er forhåndsinstallert på ulike typer utstyr.

 

Sårbarhetene finnes i VxWorks sin TCP/IP-stack, IPNet. Armis Labs har publisert en artikkel om sårbarhetene som er gitt navnet URGENT/11 på https://armis.com/urgent11/

 

VxWorks publiserte 19 juli 2019 en oppdatering for VxWorks 7 som retter disse 11 sårbarhetene.

 

 

Berørte systemer:

Det kan være utfordrende å identifisere sårbare produkter.

 

Eksempler på enheter som kan benytte VxWorks:

  • Printere (bl.a flere modeller fra Kyocera, Ricoh, Xerox og Samsung)
  • Brannmurer (bl.a flere modeller fra SonicWall)
  • VOIP telefoniutstyr
  • Enheter som bruker IPNet
  • SCADA-enheter
  • Industrielle kontrollere
  • Utstyr for pasient og helsemonitorering

 

 

Alvorlighetsgrad (Lav/Medium/Høy/Kritisk):

Kritisk
Høy
Medium

 

 

Liste over sårbarheter:

  • CVE-2019-12260 9.8 TCP Urgent Pointer state confusion caused by malformed TCP AO option
  • CVE-2019-12256 9.8 Stack overflow in the parsing of IPv4 packets’ IP options
  • CVE-2019-12255 9.8 TCP Urgent Pointer = 0 leads to integer underflow
  • CVE-2019-12261 8.8 TCP Urgent Pointer state confusion during connect() to a remote host
  • CVE-2019-12257 8.8 Heap overflow in DHCP Offer/ACK parsing inside ipdhcpc
  • CVE-2019-12263 8.1 TCP Urgent Pointer state confusion due to race condition
  • CVE-2019-12258 7.5 DoS of TCP connection via malformed TCP options
  • CVE-2019-12264 7.1 Logical flaw in IPv4 assignment by the ipdhcpc DHCP client
  • CVE-2019-12262 7.1 Handling of unsolicited Reverse ARP replies (Logical Flaw)
  • CVE-2019-12259 6.3 DoS via NULL dereference in IGMP parsing
  • CVE-2019-12265 5.4 IGMP Information leak via IGMPv3 specific membership report

 

 

Anbefaling:
Vi anbefaler virksomheter å utrede hvorvidt de har produkter som kjører VxWorks, og sørge for at disse oppdateres. Prioriter å oppdatere utstyr tilkoblet internett først.

 

Følgende mitigerende tiltak vil i noen grad hindre utnyttelse og det anbefales at disse vurderes implementert i virksomhetens brannmur, i tillegg til oppdatering av berørte produkter:

  1.   Dropp/blokker TCP-segmenter som har URG-flagget satt. Dette skal kunne hindre utnyttelse av fire av sårbarhetene. Det er mulig at legitim trafikk også benytter seg av URG-flagget.
  2.   Dropp/blokker IP-datagram som inneholder IP Option SSRR eller LSRR. Eventuelt kan alle IP options blokkeres, men dette kan medføre større problemer enn en mer spesifikk blokkering.


Hver enkelt virksomhet må vurdere hvorvidt tiltakene kan implementeres uten at drift påvirkes av endringen.

 

 

Kilder:

https://armis.com/urgent11/

https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/security-advisory-ipnet/

https://security.business.xerox.com/en-us/news/wind-river-vxworks-ipnet-tcp-ip-stack-vulnerabilities/