Armis Labs, l’équipe de recherche d’Armis, a récemment découvert 11 vulnérabilités présentes dans le système d’exploitation temps-réel VxWorks. Ce dernier est utilisé par plus de 2 milliards d’appareils, notamment des équipements industriels mais également médicaux ainsi que dans des infrastructures critiques. Parmi les constructeurs d’automates utilisant VxWorks, nous retrouvons notamment Schneider, Emerson, General Electrics ou encore Allen-Bradley.

Ces vulnérabilités sont baptisées URGENT/11

Elles résident dans la pile TCP/IP (IPnet) de l’OS affectant ainsi toutes les versions depuis la version 6.5 (sortie en 2006). Même si cela n’a pas été étudié par les chercheurs, elles pourraient avoir une portée encore plus large car IPnet a été utilisé dans d’autres systèmes d’exploitation avant son acquisition par VxWorks en 2006.

Sur les 11 vulnérabilités, six d’entre elles sont classées comme critiques car elles pourraient permettre l’exécution de code à distance. Les autres vulnérabilités peuvent quant à elles entraîner des attaques par déni de service ou l’extraction d’informations.

Armis a divulgué les vulnérabilités à Wind River

Wind River est l’entreprise qui développe et maintient VxWorks. Armis a travaillé avec elle pour élaborer des mesures d’atténuation et des correctifs, ainsi que pour informer les fabricants des dispositifs touchés. Les vulnérabilités URGENT/11 affectent les versions de VxWorks depuis la version 6.5.

Cependant, les versions du produit conçues pour la certification de sécurité (VxWorks 653 et VxWorks Cert Edition), qui sont utilisées par certaines infrastructures critiques comme les transports ne sont pas affectées. Etant donné l’impact de ces vulnérabilités, les constructeurs se reposant sur cette solution seront amenés à publier des bulletins de sécurité décrivant l’impact d’URGENT/11 sur leurs produits.

L’équipe Security Labs de Sentryo travaille actuellement sur une analyse approfondie des vulnérabilités divulguées par Armis Labs. Une fois terminée, l’analyse sera présentée sur le Blog Sentryo.

Source : https://armis.com/urgent11/#/technical