Los investigadores de Armis Labs han descubierto 11 vulnerabilidades de seguridad potencialmente graves que afectan al sistema operativo en tiempo real (RTOS) de Wind River VxWorks, descrito por la empresa como “el sistema operativo más utilizado del que nunca has oído hablar”.
Armis Labs las ha llamado colectivamente “Urgent/11”, las vulnerabilidades afectan a unos 200 millones de dispositivos que afectan desde una versión anterior de VxWorks de 2006, instalada en routers, módems, firewalls, impresoras, teléfonos VoIP, sistemas SCADA, IoT e incluso máquinas de imagen por resonancia magnética y ascensores.
Esa diversidad y volumen de dispositivos significa un gran trabajo de parcheo porque, muchos de sus propietarios actuales, tal vez ni siquiera se den cuenta de que están usando VxWorks, especialmente cuando el dispositivo tiene varios años.
El problema específico está en la pila TCP/IP (IPnet) de VxWorks, parte de una pila de software que apareció por primera vez en 1987 y que aparentemente no sufrió ningún fallo de seguridad durante todo ese tiempo.
Tiempo real
Pero, ¿qué es un RTOS? La respuesta breve es que lo utilizan dispositivos que deben garantizar una respuesta rápida (por lo tanto, “en tiempo real”) y donde la fiabilidad es más importante que la potencia informática bruta.
Por ejemplo, los airbags usan RTOS para garantizar que el airbag se infla en el momento preciso, ni demasiado pronto ni demasiado tarde.
Eso, y sus 32 años de experiencia, explica por qué VxWorks de Wind River es utilizado por dos mil millones de dispositivos, incluso si los problemas recientemente descubiertos afectan solo a un subconjunto de ellos.
Armis Labs dice:
La extensión actual de los dispositivos VxWorks es asombrosa, incluidos Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC y Arris, entre otros.
Incluso fue utilizado por la misión InSight Mars Lander 2018 de la NASA, aunque no hay ningún indicio de que esta se vea afectada (estar a 65 millones de kilómetros de distancia también ayuda).
Las vulnerabilidades
Armis Labs informó a Wind River hace algún tiempo, la lista de 11 CVE (aquí está la alerta oficial para más detalles) comprende seis vulnerabilidades críticas de ejecución remota de código (RCE), más cinco problemas menos graves que podrían conducir a la denegación de servicio, fugas de información o errores lógicos (aunque un estado DoS en un RTOS podría causar grandes dolores de cabeza).
La principal preocupación es que, cuando los dispositivos son accesibles desde Internet, o localmente, explotar las vulnerabilidades sería relativamente fácil y difícil de detectar.
Según Armis Labs, los atacantes podrían explotarlos para tomar el control de los dispositivos afectados a través de la pila TCP/IP sin interacción del usuario. Los cortafuegos no podrían detectar o detener tales ataques y cualquiera que use el software afectado estaría en riesgo directo.
Hasta ahora, no hay evidencia de que alguna de estas vulnerabilidades haya sido explotada en un ataque.
Versiones afectadas y parches
Todas las versiones de VxWorks desde 6.5, lanzada en 2006, se ven afectadas (el año en que Wind River adquirió el software), aunque algunas versiones anteriores en las que el software se usaba como una pila TCP/IP independiente también podrían verse afectadas, además de las versiones obsoletas de Wind River Advanced Networking Technologies.
VxWorks 653 y VxWorks Cert Edition, utilizados en sistemas críticos de seguridad, no se ven afectados.
Wind River publicó parches para las vulnerabilidades el 19 de julio, que deben aplicarse con urgencia. En algunos casos, podría ser posible mitigar las vulnerabilidades utilizando reglas de firewall (después de aplicar los parches correspondientes, por supuesto) o mediante ajustes en el código fuente, dijo Armis Labs.
Debido a la diversidad de dispositivos, se recomienda a los propietarios que se pongan en contacto con los fabricantes de sus aparatos para obtener actualizaciones.
Esto puede parecer tranquilizador: los investigadores han descubierto vulnerabilidades potencialmente graves antes de que los atacantes las exploten y el fabricante afectado ha preparado parches que solucionan el fallo.
El problema, por supuesto, es en realidad aplicar esos parches a una gran cantidad de dispositivos que los propietarios podrían no entender en detalle y que a menudo requieren conocimientos especializados.
Urgent/11 podría ser el desafío de IoT más complicado de la historia.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario