Ochrona luk w zabezpieczeniach URGENT/11

Ochrona luk w zabezpieczeniach URGENT/11

Zabezpiecz komponenty automatyki VxWorks przed atakami i nieautoryzowanym dostępem.

W lipcu 2019 r. firma Armis Inc z branży bezpieczeństwa IoT poinformowała o odkryciu w systemie czasu rzeczywistego Wind River VxWorks jedenastu luk w zabezpieczeniach. Problem dotyczy wielu komponentów automatyki przemysłowej. Routery zabezpieczające mGuard mogą zapewnić skuteczną ochronę sieci.

VxWorks – co to jest?

VxWorks to najpopularniejszy system operacyjny czasu rzeczywistego, używany w ponad dwóch miliardach urządzeń. Do typowych obszarów zastosowania należą lotnictwo, kosmonautyka i przemysł zbrojeniowy, jak również sterowniki do maszyn, sprzęt medyczny i infrastruktura sieciowa.

URGENT/11

Złośliwe oprogramowanie rozprzestrzenia się między maszynami  

Jedenaście luk umożliwia rozprzestrzenianie się złośliwego oprogramowania w sieci

Urgent/11 obejmuje jedenaście luk w zabezpieczeniach w systemie VxWorks, które można znaleźć w stosie TCP/IP (IPnet). Niektóre z nich pozostawały nieodkryte nawet 13 lat. Oznacza to, że dotyczą wielu wersji systemu VxWorks. Z jedenastu luk w zabezpieczeniach sześć z nich to luki krytyczne, a pięć to wycieki informacji lub błędy logiczne.

Luki umożliwiają zdalne przejęcie kontroli nad urządzeniami bez interakcji z użytkownikiem oraz rozprzestrzenianie złośliwego oprogramowania w sieci. Odbywa się to poprzez obejście zapór sieciowych i rozwiązań NAT. Tego rodzaju atak jest podobny do luki EternalBlue, przez którą wprowadzono złośliwe oprogramowanie WannaCry. Celem ataku mogą być systemy SCADA, jak również sterowniki przemysłowe, zapory sieciowe, routery, drukarki, jak również urządzenia MRT.

Scenariusze ataku

Zasadniczo wyróżnia się trzy rodzaje ataków, w zależności od lokalizacji urządzenia w sieci oraz pozycji sprawcy ataku. Jednak we wszystkich scenariuszach może dojść do zdalnego uzyskania pełnej kontroli nad urządzeniem bez jakiejkolwiek interakcji z użytkownikiem.

Pierwszy scenariusz zakłada atak na systemy obronne sieci, np. zapory sieciowe. Jeśli jednak zapory wykorzystują system VxWorks, URGENT/11 umożliwia przeprowadzenie bezpośredniego ataku i przejęcie pełnej kontroli nad nimi oraz urządzeniami, których chronią.

Drugi scenariusz to atak przez zewnętrzne połączenie sieciowe. URGENT/11 umożliwia w sposób niezauważony przejąć kontrolę nad urządzeniami z takim połączeniem mimo używania zapory sieciowej lub rozwiązań NAT.

W trzecim scenariuszu atak następuje z sieci. Jeśli sprawca ataku znajduje się już w sieci (np. poprzez scenariusz 1 lub 2), może przejąć pełną kontrolę nad urządzeniami poprzez Urgent/11 bez jakiejkolwiek interakcji z użytkownikiem. W ten sposób narażone są jednocześnie wszystkie urządzenia w zakładzie produkcyjnym, bowiem złośliwe pakiety są rozprzestrzeniane w sieci. Możliwe jest na przykład kontrolowanie, a nawet wyłączenie całej linii produkcyjnej.

Co można zrobić?

Routery zabezpieczające mGuard firmy Phoenix Contact  

Routery zabezpieczające mGuard chronią sieć

Aktualizacja wszystkich urządzeń z systemem VxWorks nie jest zazwyczaj łatwa lub może być wręcz niemożliwa. Przede wszystkim konieczne jest zidentyfikowanie wszystkich urządzeń z systemem VxWorks, co może być trudnym zadaniem. Na dodatek aktualizacje nie są jeszcze dostępne dla wszystkich urządzeń. Nawet jeśli aktualizacje są dostępne, instalacja może być ryzykowna i czasochłonna. Istnieje również ryzyko, że na koniec system nie będzie działał zgodnie z oczekiwaniami.

Znacznie łatwiejszym rozwiązaniem jest montaż dyskretnych komponentów zabezpieczających, takich jak routery zabezpieczające mGuard, które chronią sieć przed znanymi zagrożeniami. Routery mGuard posiadają funkcję blokującą każdy pakiet TCP, w którym ustawiona jest flaga Urgent. Aktywacja tych i innych konfiguracji zabezpieczających w routerze zabezpieczającym mGuard chroni całkowicie urządzenia VxWorks przed wykorzystaniem wszystkich sześciu krytycznych luk w zabezpieczeniach. Ponadto mGuard oferuje identyczną ochronę w obrębie sieci LAN, gdy pracuje w trybie Stealth. Więcej informacji na temat konfiguracji routera zabezpieczającego mGuard do ochrony przed Urgent/11 można znaleźć w poniższej białej księdze.

W razie wątpliwości, czy problem Cię dotyczy lub jeśli potrzebujesz pomocy w realizacji, skontaktuj się z nami. Nasi specjaliści sprawdzą sieć i opracują indywidualną koncepcję bezpieczeństwa w oparciu o indywidualne wymagania.

Więcej informacji na temat routerów mGuard można znaleźć pod poniższym linkiem.

Chcesz dowiedzieć się więcej?

Pobierz opracowanie lub skontaktuj się z nami.

PHOENIX CONTACT Sp. z o.o

ul. Bierutowska 57-59
Budynek nr 3/A
51-317 Wrocław
071/ 39 80 410

W naszej witrynie stosujemy pliki cookies w celu świadczenia Państwu usług na najwyższym poziomie. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w Państwa urządzeniu końcowym. Możecie Państwo dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej Polityce Prywatności.

Zamknij