Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

URGENT/11, pericolosi zero-day mettono a rischio 2 miliardi di dispositivi IoT: che c’è da sapere

Scoperte 11 vulnerabilità zero-day denominate URGENT/11 facili da sfruttare nel sistema operativo VxWorks preinstallato su oltre 2 miliardi di dispositivi IoT e dispositivi SCADA: a rischio anche dispositivi medici e macchinari industriali. Ecco tutti i dettagli e i consigli per mettere in sicurezza le proprie infrastrutture critiche

31 Lug 2019

Paolo Tarsitano


Sono state scoperte 11 vulnerabilità zero-day denominate URGENT/11 nel sistema operativo in tempo reale (RTOS, Real Time Operating System) VxWorks preinstallato su oltre 2 miliardi di dispositivi IoT e SCADA tra cui firewall, stampanti, telefoni VoIP, dispositivi SCADA per il controllo di infrastrutture critiche, apparecchiature di rete, macchinari per risonanza magnetica e altri dispositivi medici, sistemi industriali e persino ascensori, veicoli spaziali, aerei e treni.

Le vulnerabilità, scoperte dai ricercatori Ben Seri, Gregory Vishnepolsky e Dor Zusman degli Armis Labs, risiedono nello stack TCP/IP (IPnet) di VxWorks e hanno interessato quasi tutte le versioni del software proprietario a partire dalla 6.4 rilasciata nel 2006, quindi ben 13 anni fa.

URGENT/11: i dettagli tecnici delle vulnerabilità

Tra le 11 falle di sicurezza, 6 sono classificate come “critiche” in quanto potrebbero consentire ad un eventuale attaccante di eseguire codice arbitrario da remoto:

Le altre 5 potrebbero invece consentire ai criminal hacker di rubare informazioni riservate e generare malfunzionamenti nei dispositivi vulnerabili esponendoli ad attacchi di tipo DoS/DDoS:

La natura di queste vulnerabilità consente agli aggressori di rilevare da remoto eventuali dispositivi vulnerabili, compresi i dispositivi industriali, medici e aziendali, senza richiedere alcuna interazione da parte dell’utente, permettendo loro di aggirare i dispositivi di sicurezza come firewall e NAT.

Ciò è possibile grazie all’invio al sistema vulnerabile di un pacchetto dati TCP appositamente creato che viene identificato dai sistemi di sicurezza come normali comunicazioni di rete non minacciose: a quel punto, l’exploit consente di prendere il controllo completo del sistema compromesso trasformandolo anche in una sorta di gateway per controllare altri sistemi da remoto a cui trasmettere i pacchetti dannosi.

I ricercatori di Armis Labs hanno anche pubblicato alcuni video in cui mostrano, ad esempio, quanto sia semplice individuare e compromettere una stampante di rete Xerox.

URGENT/11: possibili scenari di attacco

La “flessibilità” del pacchetto di vulnerabilità URGENT/11 consente ad un aggressore di utilizzarlo per assumere il controllo di un dispositivo situato sul perimetro di una rete aziendale o al suo interno. Addirittura, è possibile intercettare e compromettere anche un dispositivo che si collega all’esterno del perimetro virtuale utilizzando una normale connessione a Internet.

Un primo scenario di attacco vede quindi gli aggressori colpire i dispositivi di sicurezza posizionati ai margini della rete ed esposti a Internet per prenderne il controllo. I ricercatori di Armis Labs hanno simulato un attacco del genere prendendo di mira un firewall SonicWall su cui era in esecuzione una versione vulnerabile di VxWorks.

URGENT/11 potrebbe essere utilizzato in un altro scenario di attacco dall’esterno della rete per bypassare le soluzioni di sicurezza che proteggono i dispositivi locali. Ciò è possibile per l’implementazione a basso livello delle vulnerabilità che consente di “nascondere” l’attacco alle soluzioni di sicurezza.

Infine, il terzo scenario di attacco è quello in cui l’aggressore si trova già all’interno della rete target: in questo caso, le vulnerabilità URGENT/11 gli consentono di colpire un dispositivo specifico o di rilevare e attaccare simultaneamente tutti i dispositivi VxWorks.

Le soluzioni per mitigare il rischio di attacco

Per fortuna, i ricercatori che hanno individuato le vulnerabilità URGENT/11 hanno immediatamente informato Wind River, produttore del sistema operativo VxWorks, che ha prontamente provveduto a rimuovere i difetti di sicurezza e a rilasciare una versione aggiornata del software.

I clienti sono stati quindi informati dei difetti di sicurezza e invitati ad adottare misure di mitigazione o a installare le ultime patch disponibili.

Qualora la correzione o l’installazione dell’ultima versione di VxWorks non fosse possibile, è buona regola adottare un efficiente sistema di rilevamento delle intrusioni (IDS, Intrusion Detection System) e configurare le necessarie regole di comportamento per identificare eventuali tentativi di accesso non autorizzato ai dispositivi e alle risorse di rete per lo sfruttamento delle vulnerabilità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5