URGENT/11：VxWorks RTOS 11個0 day漏洞影響20億設備

Armis Labs安全研究人員近日在目前使用最廣泛嵌入式設備實時操作系統（real-time operating systems，RTOS）VxWorks中發現了11個0 day漏洞，該操作系統廣泛應用於航空、國防、工業、醫療、電子、網路和其他關鍵行業中，預計影響超過20億設備。

Armis Labs安全研究人員在目前使用最廣泛嵌入式設備實時操作系統（real-time operating systems，RTOS）VxWorks的TCP/IP棧中發現了11個0 day漏洞，稱作URGENT/11，影響v 6.5及之後版本，甚至影響13年之前的操作系統。

URGENT/11

在URGENT/11個漏洞中， 6個漏洞被分類為關鍵RCE漏洞，其餘包括DOS、信息泄露和邏輯漏洞。URGENT/11非常嚴重，因為攻擊者可以在沒有用戶交互的情況下接管設備，甚至可以繞過防火牆等安全設備。這些特徵使這些漏洞可以像蠕蟲般傳播到其他網路中。

6個遠程代碼執行漏洞:

CVE-2019-12256：IPv4 options分析棧溢出漏洞

該漏洞可以通過一個精心偽造的發給目標設備的IP包觸發。不需要設備上運行特定應用或配置，影響所有運行VxWorks v6.9.4及之後版本的設備。該漏洞會在處理IPv4 header IP option時引發棧溢出，最終導致RCE。

來源於TCP Urgent Pointer field處理錯誤導致的4個內存破壞漏洞 (CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263)

這些漏洞都是因為TCP Urgent Pointer field處理錯誤導致的，該域在當前應用很少使用。攻擊者可以通過直接連接到目標設備的開放TCP埠或劫持來源於目標設備的出TCP連接來觸發對該域的錯誤處理。漏洞觸發後會導致目標設備上的應用接收到比原來來自recv()函數的位元組更多，導致棧、堆、原來數據section變數的內存破壞。也就是說攻擊者可以探測目標設備的不同TCP連接，攻擊最易利用的應用。

CVE-2019-12257：ipdhcpc分析過程中DHCP Offer/ACK堆溢出漏洞

該漏洞是有漏洞的設備分析偽造的DHCP響應包時觸發的堆溢出漏洞。這些包是由VxWorks內置的DHCP客戶端ipdhcpc分析的。攻擊者可以定位目標設備所在的子網，等待發送DHCP請求，並用偽造的DHCP響應回應。等待來自DHCP伺服器的響應的目標設備很容易會被攻擊者欺騙，並分析偽造的DHCP響應消息。這會導致攻擊者控制的數據堆溢出並導致遠程代碼執行。

5個會引發DOS、信息泄露或特定邏輯漏洞的漏洞：

CVE-2019-12258：通過偽造的TCP option發起TCP連接DoS攻擊

該漏洞可以通過發送含有特定TCP option的現有連接4元組隊偽造的TCP包來觸發漏洞，但是不知道連接的序列號，導致TCP連接被丟棄。

CVE-2019-12262：處理來路不明的逆向ARP回復（邏輯漏洞）

這是一個影響VxWorks versions 6.5及以上版本的邏輯錯誤，攻擊者利用該漏洞可以在相同子網上通過來路不明的RARP回復包來添加多個IPv4地址給目標設備。這會破壞目標設備的路由表，引發TCP/IP應用的DoS。多次觸發該漏洞會引發內存耗盡，導致在目標設備上額外的執行失敗。

CVE-2019-12264：ipdhcpc DHCP客戶端IPv4分配邏輯錯誤

該漏洞是VxWorks內置DHCP客戶端ipdhcpc中的一個邏輯錯誤。有漏洞的設備會接受DHCP伺服器分配給它的IPv4地址，即使地址不是有效的單播地址。與前面提到的RARP漏洞類似，相同子網的攻擊者會迫使分配給目標設備無效的IPv4地址，這會導致錯誤的路由表，破壞目標設備的網路連接。另外，通過分配給目標設備多播IP地址也開啟了設備IGMP相關漏洞之門。

CVE-2019-12259：IGMP分析中的空引用DoS攻擊

來自本地子網的攻擊者可以利用該漏洞通過發送未認證的包導致目標設備奔潰。為觸發該漏洞，攻擊者首先要通過偽造的DHCP響應包來為目標設備分配一個多播地址。然後發送IGMPv3成員請求包到目標設備，導致網路棧中空引用致目標設備奔潰。

CVE-2019-12265：通過IGMPv3 specific membership report泄露IGMP信息

通過CVE-2019-12264漏洞可以通過DHCP客戶端漏洞來為目標設備網路介面分配一個多播地址。為觸發該漏洞，攻擊者可以發送IGMPv3 membership query report到目標設備。這會導致目標包堆信息泄露並通過IGMPv3 membership report發送回攻擊者。

攻擊場景

研究人員根據URGENT/11漏洞的攻擊面將攻擊場景歸納為3類，分別是：

場景1: 攻擊網路防禦措施

因為交換機、路由器、防火牆這樣的網路和安全設備也安裝VxWorks系統，所以遠程攻擊者可以對這些聯網設備發起攻擊，通過控制這些設備來實現對設備連接的網路發起攻擊。

比如，目前有775,000個運行VxWorks RTOS的SonicWall防火牆設備連接著互聯網。

場景2: 來自網路外部的攻擊

除了攻擊互聯網設備外，攻擊者還會嘗試攻擊非直接與互聯網連接但是與基於雲的應用進行通信的IoT設備。比如，Xerox印表機。印表機並非直接聯網的，有防火牆和NAT設備對其進行保護，印表機通過這些安全設備連接到雲應用中。攻擊者可以攔截印表機與雲端應用的TCP連接來在印表機上觸發URGENT/11 RCE漏洞，並對印表機完全控制。為了攔截TCP連接，攻擊者可以使用 DNSpionage惡意軟體這樣的技術來攻擊DNS伺服器並發起中間人攻擊。一旦攻擊者控制了網路中的設備，就可以進一步控制網路中的其他 VxWorks設備。

場景3 – 來自網路內部的攻擊

一旦攻擊者控制了網路內的設備，由於URGENT/11漏洞的蠕蟲傳播性，可以在網路中廣播惡意包來入侵所有有漏洞的設備。比如，醫院的病人監護器只有內網的連接許可權。雖然它沒有直接連接到互聯網，但通過入侵網路攻擊者也可以接管它。PLC也是一個很好的例子，攻擊者可以利用URGENT/11漏洞來攻擊有漏洞的設備，然後在內網中傳播來控制整個工廠，然後進行勒索或其他惡意行為。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！