neprihlásený Nedeľa, 9. augusta 2020, dnes má meniny Ľubomíra
Milióny dôležitých zariadení na Internete v ohrození, aj firewally, MRI a výťahy

Značky: bezpečnosťInternet

DSL.sk, 29.7.2019


V operačnom systéme VxWorks používanom v množstve sieťových ale aj rozličných špecializovaných zariadení bolo objavených viacero veľmi vážnych chýb, ktoré ohrozujú bezpečnosť týchto zariadení.

Informovala o tom spoločnosť Armis, ktorá zraniteľnosti identifikovala.

VxWorks je real-time operačným systémom, RTOS, ktorý sa používa v rozličných sieťových a ďalších špecializovaných zariadeniach vyžadujúcich stabilitu a spoľahlivosť. Ide o najpoužívanejší RTOS, jeho tvorcom je spoločnosť Wind River Systems.

VxWorks nemá otvorené zdrojové kódy a chýbajú mu viaceré ochrany schopné zabrániť alebo sťažiť zneužívaniu zraniteľností, aké sa nachádzajú v operačných systémoch pre bežné počítačové zariadenia, napríklad DEP a ASLR.

Armis vo VxWorks identifikovala 11 bezpečnostných zraniteľností označených spoločným názvom URGENT/11, z ktorých 6 je veľmi vážnych umožňujúcich spustenie útočníkom zvoleného kódu a podľa okolností získanie kontroly nad zariadením.

Zraniteľnosti sa nachádzajú v implementácii základného sieťového protokolu TCP/IP označenej IPnet a to v takmer všetkých verziách VxWorks za posledných 13 rokov počnúc verziou 6.5, nie v každej verzii sú prítomné všetky zraniteľnosti. Výnimkou sú špecifické verzie VxWorks 653 a VxWorks Cert Edition, ktoré boli určené pre najkritickejšie nasadenia s bezpečnostnou certifikáciou, napríklad v doprave, a ktoré nie sú zraniteľné vôbec.

Oznámenie neuvádza vyčerpávajúci zoznam postihnutých zariadení ani vážnosť dopadov na jednotlivé zariadenia, pričom dopady sa môžu líšiť.

Uvádza najmä len príklady typov zraniteľných zariadení. Podľa Armis zraniteľnosti majú mať dopad napríklad na viaceré sieťové firewally, routery, modemy, VOIP telefóny, tlačiarne ale aj zariadenia ako MRI, magnetické rezonancie, SCADA, riadiace priemyselné počítače a systémy výťahov, monitory pacientov. Oznámenie uvádza tiež príklady značiek postihnutých produktov, Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC a Arris. Z konkrétnejších produktov menuje na ukážku len firewall od SonicWall a tlačiareň od Xeroxu.

U špecializovaných zariadení je aktualizácia softvéru často výrazne komplikovanejšia ako u bežných počítačových zariadení a pre akú časť postihnutých zariadení a kedy budú k dispozícii aktualizácie nie je jasné.

Čo sa týka samotného VxWorks, tvorcovia vydali 19. júla opravenú verziu SR620 poslednej verzie ich OS VxWorks 7 a tiež aktualizácie pre skoršie verzie. Implementáciu TCP/IP IPnet nevyvinuli priamo tvorcovia VxWorks, získali ju akvizíciou a IPnet bola podľa oznámenia pred akvizíciou v 2006 používaná aj inými operačnými systémami. Postihnuté tak môžu byť aj ďalšie zariadenia.

Bližšie detaily zraniteľností je možné nájsť v oznámeniach Armis a Wind River.


      Zdieľaj na Twitteri



Najnovšie články:

Smartfóny s Qualcomm CPU sú zraniteľné, dajú sa využiť na špehovanie
Huawei kvôli sankciám v problémoch s CPU pre smartfóny, končí s vlastnými
Alza začala predávať alkohol
Sonda NASA pri asteroide si otestuje zostúpenie blízko k povrchu
Digitálne vysielanie rádií na Slovensku znížilo dátový tok
Eset identifikoval zraniteľnosti umožňujúce odpočúvať WiFi v ďalších čipsetoch
SpaceX na štvrtý pokus vyniesla Starlink satelity s tienidlami, video
Odštartoval nový Star Trek seriál, animovaný
Intel uvedie 10-nm procesory Tiger Lake 2. septembra
Českým doménam sa skrátila doba funkčnosti po exspirácii


Diskusia:
                               
 

no tak tie výťahy vyzerajú bohovo, chvalabohu, že schodov sa uvedené problémy netýkajú, tie sú proste dumb a basta!
Odpovedať Známka: 8.0 Hodnotiť:
 

zabugovane schody
https://www.youtube.com/watch?v=gz4R-Xhj9Vc
Odpovedať Známka: 4.3 Hodnotiť:
 

myslel som klasické schody. a ten incident na videu (s "úžasným" komentárom pre idiotov sledujúcich CNN) s eskalátorom je chybou hardvérovou, nie softvérom...
Odpovedať Známka: 4.0 Hodnotiť:
 

Technici tam robili údržbu a zabudli priskrutkovať ten kryt, ktorý sa preklopil. Ide o ľudské zlyhanie a nedostatočne ošetrené procesy, prípadne zle navrhnuté zariadenie.
Odpovedať Známka: 10.0 Hodnotiť:
 

nastastie ani bankomatov sa to netyka - tie donedavna bezali na win xp.
Odpovedať Známka: 6.0 Hodnotiť:
 

bankomat RTOS nepotrebuje, proste si na tu 20cku pockas o dve sekundy dlhsie.
Odpovedať Známka: 6.4 Hodnotiť:
 

Ked uz sme pri tom urgent ELEVEN a vytahoch:
https://www.youtube.com/watch?v=BOUTfUmI8vs
:D

Odpovedať Známka: 10.0 Hodnotiť:
 

Kedysi lacne routre sa mali prave OS VxWorks a nie linux (setrilo sa na pamati VxWorks stacilo 2MB). Vzdy to bol uzavrety system cize nejaky audit sa robil velmi tazko. Takze sprava neprekvapuje.
Odpovedať Známka: 7.0 Hodnotiť:
 

Prečo vyrábajú akože inteligentné(veľmi nadsadené slovo)vysávače kruhové vysávače, keď ja mám v byte kúty - rohy. To ešte nikoho nenapadlo ho urobiť tak, aby aj ten roh vymietol?
Už každú debylinu budeme nazývať inteligencia...

Odpovedať Známka: -2.0 Hodnotiť:
 

Možno by stálo za úvahu zamurovať v byte kúty do polkruhov, aby mohol vysávač účinne spracovať aj tieto plochy. Mnoho susedov pristupuje k takémuto dispozičnému riešeniu, akonáhle si zaobstarajú kruhový vysávač. Toto riešenie je aj v súlade s filozofiou feng šuej.
Odpovedať Známka: 8.3 Hodnotiť:
 

Pocul som o chlapikovi v BA, ktory si specialne urobil poschodie s okruhlym podorysom. Dole vladne zena v rohoch a on na poschodi v okruhlej miestnosti.
Odpovedať Známka: 0.0 Hodnotiť:
 

Aj rybke v kruhovom akváriu prepne. Čo to spraví s človekom môžeme len hádať. Lenže ak človek už je psychopat tak je to v podstate jedno.
Odpovedať Známka: 10.0 Hodnotiť:
 

Neboj, teba tak určite nazývať nebudeme.
Odpovedať Známka: 4.5 Hodnotiť:
 

https://www.speedtech.sk/product/39595/
roboticky-vysavac-s-mopom-hobot-legee-668-4v1
Odpovedať Známka: 10.0 Hodnotiť:
 

Skracovače nemali?
A zasa je urobený s kruhovou vrtuľou...
Odpovedať Známka: -5.6 Hodnotiť:
 

presne, preco sa vsetky tocia do kruhu a nie do stvorca?
Odpovedať Známka: 8.0 Hodnotiť:
 

Ha-ha... veď uvažuj, možno aj nejaké ocenenie získaš. Inšpiruj sa Wankelom...
Odpovedať Známka: -3.3 Hodnotiť:
 

Vidis, vymyslel si zlepsienie, vyrobcovia by ti mali poslat kvety. Debylinkovy cajicek by mi teraz bodol.
Odpovedať Hodnotiť:
 

Tak hlavne nezabudnite v starej bytovke zrenovovat vytah a potom ho zapojit do Internetu. Ideal e public IPv4 adresa.
Odpovedať Známka: 8.9 Hodnotiť:
 

Pevná IPv4 a čo je na tom?
Aj kolobežku a baterkoví bicyklisti...
Odpovedať Známka: -7.8 Hodnotiť:
 

Janka kúp mi Rentgeeen, MRI už nechceeem,.
Odpovedať Známka: 7.0 Hodnotiť:
 

Bílej jezdec jede tmou
Bílej meč má nad hlavou
Jede cvalem s touhou svou
Jede smutnou Evropou

Bílej jezdec
Bílá zář
Bílej den
A bílá tvář
Bílej jezdec, bílá zář, bílej den a bílá tvář

Odpovedať Známka: -5.4 Hodnotiť:
 

Miliony parazitů na slávě se přiživuje
Jak pošpinit druhýho a závody kdo víc bonzuje
Mračna zlodějů se na ulicích pohybuje
Jenže proti tomu tady dávno nikdo nebojuje.

Jsi Čech,Čech,Čech,tak si toho važ
Jsi Čech,Čech,Čech a narovnat se snaž
Jsi Čech,Čech,Čech a Čechům dělej čest
Přelez,přeskoč,ale nepodlez

Křivost na křivost se každým dnem jen prohlubuje
Slovo už nic neznamená,nechuť všema prostupuje
Český holky,český kluky,český pivo obklopuje
Zachraňme si čest tím hlavním,co nás tu všechny spojuje

Odpovedať Známka: -6.4 Hodnotiť:
 

Neboj, ta puberta raz prejde
Odpovedať Známka: 3.8 Hodnotiť:
 

Až na to, že ani takí pôvodní Taliani, Gréci, Francúzi, Portugalčania, Srbi, Čiernohorci, Bulhari, Rumuni ani Španieli nie sú tiež bieli. To Landovmu rasistickému mozgu nedošlo.
Odpovedať Známka: 6.0 Hodnotiť:
 

ciernohorci su jasne cierny, inak by sa volali bielohorci
Odpovedať Hodnotiť:
 

Wind River Systems

názov schránkovej firmy ako zo špionážneho filmu
Odpovedať Známka: 10.0 Hodnotiť:
 

Aj niektore inteligentne wc zrejme bezia na tomto systeme. Nikde sa nepise ktore su to. Ludia neradi zazivaju incidenty pocas potreby.
Odpovedať Známka: 10.0 Hodnotiť:
 

primerany incident dokaze vykonanie potreby vyrazne urychlit
Odpovedať Známka: 10.0 Hodnotiť:
 

No tak neviem. Ked sa mne okrem dokodenia transakcii do to rtos zranitelnosti na ine moc pouzit nedalo, realne dopady ohrozenie zrejme ktovieake priekazne nema.
Odpovedať Známka: 0.0 Hodnotiť:
 

trapne
Odpovedať Známka: 3.3 Hodnotiť:
 

Chúlostivosť miliónov aparátov spôsobilo že môj pocit je teraz tiež chúlostivosť. Roním slzu dlhodobého nešťastia. No tak, netvárte sa ako hrdinovia a poplačte si rovnako nad svojou chúlostivosťou.
Odpovedať Známka: 6.0 Hodnotiť:
 

Elektronika vytahov sa spravidla na internet nepripaja, vytahy s reklamnymi displejmi maju pripojenu k netu len tuto cast, oddelenu od zvysku, takze 'hacknut' vytah je podla mna dost nepravdepodobne.
Odpovedať Hodnotiť:
 

Mnohé výťahy sú nemotorne naprogramované a riadené nejakým malým mikrokontrolérom. Mnohé ledva splnia to, čo ich oveľa starší predchodcovia s oveľa jednoduchšou elektrikou.
Odpovedať Hodnotiť:
 

"Výnimkou sú špecifické verzie VxWorks 653 a VxWorks Cert Edition, ktoré boli určené pre najkritickejšie nasadenia s bezpečnostnou certifikáciou, napríklad v doprave, a ktoré nie sú zraniteľné vôbec. "

Aha, takze vedia vyrobit aj kod bez zranitelnosti. Preco ho potom uz nenasadia vsade, ked ho maju certifikovany ako najbezpecnejsi? Zeby naschval?
Odpovedať Hodnotiť:

Pridať komentár