Milióny dôležitých zariadení na Internete v ohrození, aj firewally, MRI a výťahy

Značky: bezpečnosťInternet

DSL.sk, 29.7.2019

V operačnom systéme VxWorks používanom v množstve sieťových ale aj rozličných špecializovaných zariadení bolo objavených viacero veľmi vážnych chýb, ktoré ohrozujú bezpečnosť týchto zariadení.

Informovala o tom spoločnosť Armis, ktorá zraniteľnosti identifikovala.

VxWorks je real-time operačným systémom, RTOS, ktorý sa používa v rozličných sieťových a ďalších špecializovaných zariadeniach vyžadujúcich stabilitu a spoľahlivosť. Ide o najpoužívanejší RTOS, jeho tvorcom je spoločnosť Wind River Systems.

VxWorks nemá otvorené zdrojové kódy a chýbajú mu viaceré ochrany schopné zabrániť alebo sťažiť zneužívaniu zraniteľností, aké sa nachádzajú v operačných systémoch pre bežné počítačové zariadenia, napríklad DEP a ASLR.

Armis vo VxWorks identifikovala 11 bezpečnostných zraniteľností označených spoločným názvom URGENT/11, z ktorých 6 je veľmi vážnych umožňujúcich spustenie útočníkom zvoleného kódu a podľa okolností získanie kontroly nad zariadením.

Zraniteľnosti sa nachádzajú v implementácii základného sieťového protokolu TCP/IP označenej IPnet a to v takmer všetkých verziách VxWorks za posledných 13 rokov počnúc verziou 6.5, nie v každej verzii sú prítomné všetky zraniteľnosti. Výnimkou sú špecifické verzie VxWorks 653 a VxWorks Cert Edition, ktoré boli určené pre najkritickejšie nasadenia s bezpečnostnou certifikáciou, napríklad v doprave, a ktoré nie sú zraniteľné vôbec.

Oznámenie neuvádza vyčerpávajúci zoznam postihnutých zariadení ani vážnosť dopadov na jednotlivé zariadenia, pričom dopady sa môžu líšiť.

Uvádza najmä len príklady typov zraniteľných zariadení. Podľa Armis zraniteľnosti majú mať dopad napríklad na viaceré sieťové firewally, routery, modemy, VOIP telefóny, tlačiarne ale aj zariadenia ako MRI, magnetické rezonancie, SCADA, riadiace priemyselné počítače a systémy výťahov, monitory pacientov. Oznámenie uvádza tiež príklady značiek postihnutých produktov, Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC a Arris. Z konkrétnejších produktov menuje na ukážku len firewall od SonicWall a tlačiareň od Xeroxu.

U špecializovaných zariadení je aktualizácia softvéru často výrazne komplikovanejšia ako u bežných počítačových zariadení a pre akú časť postihnutých zariadení a kedy budú k dispozícii aktualizácie nie je jasné.

Čo sa týka samotného VxWorks, tvorcovia vydali 19. júla opravenú verziu SR620 poslednej verzie ich OS VxWorks 7 a tiež aktualizácie pre skoršie verzie. Implementáciu TCP/IP IPnet nevyvinuli priamo tvorcovia VxWorks, získali ju akvizíciou a IPnet bola podľa oznámenia pred akvizíciou v 2006 používaná aj inými operačnými systémami. Postihnuté tak môžu byť aj ďalšie zariadenia.

Bližšie detaily zraniteľností je možné nájsť v oznámeniach Armis a Wind River.




Najnovšie články:



Diskusia:

výťahy Od: Tommy Robinson | Pridané: 29.7.2019 19:25 no tak tie výťahy vyzerajú bohovo, chvalabohu, že schodov sa uvedené problémy netýkajú, tie sú proste dumb a basta! Odpovedať Známka: 8.0 Hodnotiť:

Re: výťahy Od: jebe jebe jebe | Pridané: 29.7.2019 20:54 zabugovane schody https://www.youtube.com/watch?v=gz4R-Xhj9Vc Odpovedať Známka: 4.3 Hodnotiť:

Re: výťahy Od: Tommy Robinson | Pridané: 30.7.2019 8:34 myslel som klasické schody. a ten incident na videu (s "úžasným" komentárom pre idiotov sledujúcich CNN) s eskalátorom je chybou hardvérovou, nie softvérom... Odpovedať Známka: 4.0 Hodnotiť:

Re: výťahy Od: ubl | Pridané: 30.7.2019 9:01 Technici tam robili údržbu a zabudli priskrutkovať ten kryt, ktorý sa preklopil. Ide o ľudské zlyhanie a nedostatočne ošetrené procesy, prípadne zle navrhnuté zariadenie. Odpovedať Známka: 10.0 Hodnotiť:

Re: výťahy Od: konspirator9 | Pridané: 30.7.2019 7:09 nastastie ani bankomatov sa to netyka - tie donedavna bezali na win xp. Odpovedať Známka: 6.0 Hodnotiť:

Re: výťahy Od: dementYl | Pridané: 30.7.2019 7:22 bankomat RTOS nepotrebuje, proste si na tu 20cku pockas o dve sekundy dlhsie. Odpovedať Známka: 6.4 Hodnotiť:

Re: výťahy Od reg.: M.Miiicho | Pridané: 30.7.2019 14:43 Ked uz sme pri tom urgent ELEVEN a vytahoch: https://www.youtube.com/watch?v=BOUTfUmI8vs :D Odpovedať Známka: 10.0 Hodnotiť:

VxWorks Od: dziny1 | Pridané: 29.7.2019 19:48 Kedysi lacne routre sa mali prave OS VxWorks a nie linux (setrilo sa na pamati VxWorks stacilo 2MB). Vzdy to bol uzavrety system cize nejaky audit sa robil velmi tazko. Takze sprava neprekvapuje. Odpovedať Známka: 7.0 Hodnotiť:

Works for Windows Od: Junnior | Pridané: 29.7.2019 21:52 Prečo vyrábajú akože inteligentné(veľmi nadsadené slovo)vysávače kruhové vysávače, keď ja mám v byte kúty - rohy. To ešte nikoho nenapadlo ho urobiť tak, aby aj ten roh vymietol? Už každú debylinu budeme nazývať inteligencia... Odpovedať Známka: -2.0 Hodnotiť:

Re: Works for Windows Od: Chyžný | Pridané: 29.7.2019 22:28 Možno by stálo za úvahu zamurovať v byte kúty do polkruhov, aby mohol vysávač účinne spracovať aj tieto plochy. Mnoho susedov pristupuje k takémuto dispozičnému riešeniu, akonáhle si zaobstarajú kruhový vysávač. Toto riešenie je aj v súlade s filozofiou feng šuej. Odpovedať Známka: 8.3 Hodnotiť:

Re: Works for Windows Od reg.: DenisaSakovaExpertkaSmeruNaVsetko | Pridané: 30.7.2019 0:52 Pocul som o chlapikovi v BA, ktory si specialne urobil poschodie s okruhlym podorysom. Dole vladne zena v rohoch a on na poschodi v okruhlej miestnosti. Odpovedať Známka: 0.0 Hodnotiť:

Re: Works for Windows Od reg.: saruman | Pridané: 30.7.2019 9:17 Aj rybke v kruhovom akváriu prepne. Čo to spraví s človekom môžeme len hádať. Lenže ak človek už je psychopat tak je to v podstate jedno. Odpovedať Známka: 10.0 Hodnotiť:

Re: Works for Windows Od: Pankrac | Pridané: 29.7.2019 23:15 Neboj, teba tak určite nazývať nebudeme. Odpovedať Známka: 4.5 Hodnotiť:

Re: Works for Windows Od: Robot0903 | Pridané: 29.7.2019 23:34 https://www.speedtech.sk/product/39595/ roboticky-vysavac-s-mopom-hobot-legee-668-4v1 Odpovedať Známka: 10.0 Hodnotiť:

Re: Works for Windows Od: Junnior | Pridané: 30.7.2019 2:20 Skracovače nemali? A zasa je urobený s kruhovou vrtuľou... Odpovedať Známka: -5.6 Hodnotiť:

Re: Works for Windows Od reg.: Ower222 | Pridané: 30.7.2019 8:05 presne, preco sa vsetky tocia do kruhu a nie do stvorca? Odpovedať Známka: 8.0 Hodnotiť:

Re: Works for Windows Od: Junnior | Pridané: 30.7.2019 23:13 Ha-ha... veď uvažuj, možno aj nejaké ocenenie získaš. Inšpiruj sa Wankelom... Odpovedať Známka: -3.3 Hodnotiť:

Re: Works for Windows Od reg.: teapak1 | Pridané: 2.8.2019 9:44 Vidis, vymyslel si zlepsienie, vyrobcovia by ti mali poslat kvety. Debylinkovy cajicek by mi teraz bodol. Odpovedať Hodnotiť:

...... Od: zxcvbn | Pridané: 29.7.2019 21:44 Tak hlavne nezabudnite v starej bytovke zrenovovat vytah a potom ho zapojit do Internetu. Ideal e public IPv4 adresa. Odpovedať Známka: 8.9 Hodnotiť:

Segal na bicáku Od: Junnior | Pridané: 29.7.2019 21:52 Pevná IPv4 a čo je na tom? Aj kolobežku a baterkoví bicyklisti... Odpovedať Známka: -7.8 Hodnotiť:

špívám rád Od: LordOfTrt | Pridané: 29.7.2019 22:20 Janka kúp mi Rentgeeen, MRI už nechceeem,. Odpovedať Známka: 7.0 Hodnotiť:

nj, to sme si už (ale (zatím) jen VLASTENCI!!!) všimli, že miliony bielých ludí, a ich majetok, je tu v EUrope v ohrození... Od: Zmia Bílá Královna | Pridané: 30.7.2019 0:40 Bílej jezdec jede tmou Bílej meč má nad hlavou Jede cvalem s touhou svou Jede smutnou Evropou Bílej jezdec Bílá zář Bílej den A bílá tvář Bílej jezdec, bílá zář, bílej den a bílá tvář Odpovedať Známka: -5.4 Hodnotiť:

Re: nj, to sme si už (ale (zatím) jen VLASTENCI!!!) všimli, že miliony bielých ludí, a ich majetok, je tu v EUrope v ohrození... Od: Daniel: | Pridané: 30.7.2019 0:45 Miliony parazitů na slávě se přiživuje Jak pošpinit druhýho a závody kdo víc bonzuje Mračna zlodějů se na ulicích pohybuje Jenže proti tomu tady dávno nikdo nebojuje. Jsi Čech,Čech,Čech,tak si toho važ Jsi Čech,Čech,Čech a narovnat se snaž Jsi Čech,Čech,Čech a Čechům dělej čest Přelez,přeskoč,ale nepodlez Křivost na křivost se každým dnem jen prohlubuje Slovo už nic neznamená,nechuť všema prostupuje Český holky,český kluky,český pivo obklopuje Zachraňme si čest tím hlavním,co nás tu všechny spojuje Odpovedať Známka: -6.4 Hodnotiť:

Re: nj, to sme si už (ale (zatím) jen VLASTENCI!!!) všimli, že miliony bielých ludí, a ich majetok, je tu v EUrope v ohrození... Od reg.: edghar | Pridané: 30.7.2019 8:35 Neboj, ta puberta raz prejde Odpovedať Známka: 3.8 Hodnotiť:

Re: nj, to sme si už (ale (zatím) jen VLASTENCI!!!) všimli, že miliony bielých ludí, a ich majetok, je tu v EUrope v ohrození... Od: allyze | Pridané: 30.7.2019 15:40 Až na to, že ani takí pôvodní Taliani, Gréci, Francúzi, Portugalčania, Srbi, Čiernohorci, Bulhari, Rumuni ani Španieli nie sú tiež bieli. To Landovmu rasistickému mozgu nedošlo. Odpovedať Známka: 6.0 Hodnotiť:

Re: nj, to sme si už (ale (zatím) jen VLASTENCI!!!) všimli, že miliony bielých ludí, a ich majetok, je tu v EUrope v ohrození... Od: Rabbi Schlomo Goldstein | Pridané: 30.7.2019 20:54 ciernohorci su jasne cierny, inak by sa volali bielohorci Odpovedať Hodnotiť:

Titulok Od: mattti | Pridané: 30.7.2019 7:49 Wind River Systems názov schránkovej firmy ako zo špionážneho filmu Odpovedať Známka: 10.0 Hodnotiť:

Nikde sa nepise o wc. Od: WCman | Pridané: 30.7.2019 8:56 Aj niektore inteligentne wc zrejme bezia na tomto systeme. Nikde sa nepise ktore su to. Ludia neradi zazivaju incidenty pocas potreby. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nikde sa nepise o wc. Od: asdfsas | Pridané: 30.7.2019 9:24 primerany incident dokaze vykonanie potreby vyrazne urychlit Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny optimizmus Od: syntaxterrorX .XXX | Pridané: 30.7.2019 10:08 No tak neviem. Ked sa mne okrem dokodenia transakcii do to rtos zranitelnosti na ine moc pouzit nedalo, realne dopady ohrozenie zrejme ktovieake priekazne nema. Odpovedať Známka: 0.0 Hodnotiť:

Re: ultraradikalny optimizmus Od: letovparku | Pridané: 30.7.2019 13:38 trapne Odpovedať Známka: 3.3 Hodnotiť:

Beznádej, heknú nás, okradnú a zabijú Od: cucajmekapity.XXX | Pridané: 30.7.2019 16:38 Chúlostivosť miliónov aparátov spôsobilo že môj pocit je teraz tiež chúlostivosť. Roním slzu dlhodobého nešťastia. No tak, netvárte sa ako hrdinovia a poplačte si rovnako nad svojou chúlostivosťou. Odpovedať Známka: 6.0 Hodnotiť:

Vytahy a specializovana technika Od reg.: Sheep | Pridané: 30.7.2019 23:04 Elektronika vytahov sa spravidla na internet nepripaja, vytahy s reklamnymi displejmi maju pripojenu k netu len tuto cast, oddelenu od zvysku, takze 'hacknut' vytah je podla mna dost nepravdepodobne. Odpovedať Hodnotiť:

Re: Vytahy a specializovana technika Od: Junnior | Pridané: 30.7.2019 23:16 Mnohé výťahy sú nemotorne naprogramované a riadené nejakým malým mikrokontrolérom. Mnohé ledva splnia to, čo ich oveľa starší predchodcovia s oveľa jednoduchšou elektrikou. Odpovedať Hodnotiť:

Vynimka Od: Hadimrska | Pridané: 31.7.2019 14:18 "Výnimkou sú špecifické verzie VxWorks 653 a VxWorks Cert Edition, ktoré boli určené pre najkritickejšie nasadenia s bezpečnostnou certifikáciou, napríklad v doprave, a ktoré nie sú zraniteľné vôbec. " Aha, takze vedia vyrobit aj kod bez zranitelnosti. Preco ho potom uz nenasadia vsade, ked ho maju certifikovany ako najbezpecnejsi? Zeby naschval? Odpovedať Hodnotiť:

Pridať komentár