URGENT/11 - Neue ICS-Bedrohungssignaturen von Nozomi Networks Labs

Das bekannte VxWorks RTOS (Real-Time Operating System), welches in mehr als 2 Milliarden Geräten aus kritischen Infrastrukturbereichen wie Gesundheitswesen, Verkehr, Luftfahrt und anderen industriellen Betrieben weit verbreitet ist, ist von 11 Schwachstellen betroffen, die als URGENT/11 bezeichnet werden.


Die Schwachstellen wurden im TCP/IP-Stack (IPnet) von VxWorks gemeldet und betreffen alle Versionen seit Version 6.5.
Der IoT-Sicherheitsanbieter Armis hat die Schwachstellen zuerst gemeldet und analysiert und durch die VxWorks-Vorfallsreaktion näher beschrieben. Sie ermöglichen es Angreifern, Geräte ohne Benutzerinteraktion zu übernehmen.

Die Schwachstellen sind besonders kritisch, weil:

  • Sie ermöglichen es Angreifern, Geräte ohne jegliche Benutzerinteraktion zu übernehmen und auch Sicherheitsvorrichtungen wie       Firewalls und NAT-Lösungen zu umgehen.
  • Die Schwachstellen sind "wurmbar", was bedeutet, dass sie zur Verbreitung von Malware in und innerhalb von Netzwerken verwendet  werden können.
  • Sie betreffen Geräte wie SCADA-, Aufzugs- und Industriesteuerungen, Patientenmonitore und MRT-Geräte sowie Firewalls, Router,    Modems, VOIP-Telefone und Drucker.
  • Sie könnten potenziell einen größeren Einfluss haben, da IPnet (TCP/IP-Stack von VxWorks) in anderen Betriebssystemen vor der  Übernahme von VxWorks durch Wind River im Jahr 2006 verwendet wurde.


Sie sollten ihr Netzwerk dringend auf die Gefährdung durch URGENT/11 bewerten. Ein Angriff, der eine Schwachstellen ausnutzt, könnte Bedrohungsakteuren es ermöglichen, Geräte ohne Benutzerinteraktion zu übernehmen. Der Angriff könnte sich sehr schnell ausbreiten und zu erheblichen Betriebsstörungen führen.

Nozomi Networks-Kunden, die Guardian mit OT ThreatFeed nutzen, erhalten automatisch eine Bedrohungssignaturen. Sie werden auch benachrichtigt, wenn Indikatoren für Kompromisse identifiziert werden. Eine erste Reihe von Bedrohungssignaturen wurde bereits ausgeliefert, weitere sind in der Entwicklung und werden diesen Monat veröffentlicht.

Nach der ersten Entdeckung der URGENT/11-Schwachstellen wurden mehrere schwache Erkennungssignaturen online veröffentlicht. Die meisten wurden entwickelt, um die Voraussetzungen für die Betriebsphase zu erkennen, aber die Ergebnisse sind zu allgemein für den Einsatz in weitreichenden, heterogenen Netzwerken. In einem solchen Umfeld könnten sie zu viele Fehlalarme aufwerfen, um handlungsfähig zu sein.
Um Ihnen zu helfen, dieses Problem zu vermeiden, hat Nozomi Networks Labs die Signaturen nicht sofort in ihren OT ThreadFeed (OTTF) integriert. Stattdessen führten sie Laboruntersuchungen an den anfälligen Geräten durch und entwickelten schnell ihre eigenen Signaturen, um Schwachstellen zu identifizieren, die sowohl in industriellen Umgebungen als auch in eher traditionellen IT-Umgebungen einwandfrei funktionieren würden.

Nozomi Networks Labs arbeitet ständig daran, diese Art von Angriffsszenario effektiv zu erkennen, indem es OTTF neue Signaturen hinzufügt und seine Erkennungsmechanismen verbessert.
Die Schwachstellen-Datenbank identifiziert gefährdete Objekte und unterstützt Patch-Management-Aktivitäten. Ebenso bietet Nozomi Networks auch genaue und leistungsstarke Signaturen für die präzise Erkennung von Echtzeit-Ausbeutungsversuchen.

 

 190913-Grafik

 

*1 = Armis Security, Critical vulnerabilities to remotely compromise VxWorks, the most popular RTOS

*2 = Wind River, VxWorks Hersteller, Security Advisory: Wind River TCP/IP STACK (IPnet) Vulnerabilities

 

Mehr zu dem Thema finden Sie auf:

https://www.nozominetworks.com/blog/urgent-11-new-ics-threat-signatures-by-nozomi-networks-labs/

Die mit einem * markierten Felder sind Pflichtfelder.