The Great Global Patch」。VxWorksの欠陥により数百万台のデバイスが危険にさらされる

2019年08月05日掲載
ピーテル・ダンヒョウ著
ケーススタディ

The Great Global Patch」。VxWorksの欠陥により数百万台のデバイスが危険にさらされる

2019年08月05日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

VxWorksは一般消費者にはあまり知られていませんが、このソフトウェア製品は必然的にあなたや私のような多くの人々に毎日恩恵を与えています。世界で最も普及しているリアルタイム・オペレーティング・システム(RTOS)であるVxWorksは、企業のネットワークやファイアウォール、航空宇宙分野のインターフェース、産業機器、さらには医療機器など、私たちが(代理で)頼りにしている主力製品です。

そして今、私たちは、これらのデバイスのうち、少なくとも11個の脆弱性がある、数十億とは言わないまでも、数億のデバイスが危険にさらされている可能性に直面しています。ウインドリバー社のチーフ・セキュリティ・アーキテクトであるアーレン・ベイカーは、SearchSecurity社の記事の中で、この数字に異議を唱え、正確な範囲は未確認であり、そこまで多いとは考えられないと明かしています。今回確認された脆弱性は、比較的容易に悪用できるものばかりで、その多くは、ネットワークパケットの送信によって攻撃者が機器を遠隔操作できるというものです。

もちろん、ウインドリバー社は、影響を受けるお客様や関係者に一連の修正プログラムやパッチをリリースしています。サノスが指をクリックするだけで世界を終わらせてしまうように、多くのデバイスがパッチを当てられないまま、つまり脆弱な状態で長期間放置されることは避け られません。

セキュリティ企業のArmis社は、この大発見を「URGENT/11」と名付けました。今回の発見は、複数のベクターからの攻撃が容易であることと、広範な感染の可能性があることから、深刻な問題であるとしています。MRIスキャナーやVOIP製品、電車のネットワークや信号機など、あらゆるソフトウェアにワームを作成して展開することは十分可能です。

パニックになる時期なのか?

セキュリティ意識を高めることを人生の重要な使命としている者として、私は日々多くの潜在的なセキュリティ問題を目にしています。慌てすぎてしまうと、一日の大半をヒステリックに過ごしてしまうでしょう(結局のところ、私は教育やバグ修正の手助けをする仕事に就きたいのです!)。しかし、URGENT/11の発見範囲はかなり怖いものがあります。見つかった11件の脆弱性のうち、6件が重要とされています。The Hacker Newsによると、これらの脆弱性は、VxWorksのバージョン6.5以降(VxWorks 653やVxWorks Cert Editionなど、認証用に設計されたバージョンを除く)のデバイスに存在しており、重要な技術が10年以上前からデバイス乗っ取り攻撃の脅威にさらされていたことになります。すべてのデバイスが11の欠陥すべてに対応しているわけではありませんが(攻撃者が同じLABサブネット上にいる場合にのみ悪用できるものもあります)、平凡なハッカーであっても、わずかなチャンスがあれば大丈夫です。

重要なのは、ウインドリバー社が迅速に対応し、アーミス社と同様に問題を軽減するための詳細なアドバイスを提供したことです。また、VxWorks RTOSが広く採用されているのは、信頼性が高く、ソフトウェアの安全性に関する規制で高い評価を受けているからであり、通常、バグバウンティハンターはあまり気にしません。パッチをダウンロードしたり、セキュリティに関するアドバイスに耳を傾けたり、自分のデバイスを強化したりするのはエンドユーザーの手に委ねられており、そこが厄介なところです。

まだ慌てる必要はないかもしれませんが、この獣を服従させるには村が必要になるかもしれません。

URGENT/11の脆弱性の説明

現時点では、バージョン6.5以降の危険なVxWorks TCP/IP IPnetスタックに接続されているデバイスは、少なくともURGENT/11の1つの影響を受ける可能性があります。(ウインドリバー社によるCVEの全リストはこちらをご覧ください)。

これらの欠陥の多くは、リモートコード実行(RCE)やサービス妨害(Denial of Service)攻撃を可能にするもので、いくつかの欠陥は情報漏洩やビジネスロジックの問題にもつながります。リモートコードの実行は、攻撃者がエンドユーザの操作なしにデバイスを制御できるという点で、今回は特にデリケートな問題です。怪しいものをクリックしたり、ダウンロードしたり、情報を入力したりする必要はありません。VxWorksデバイスは非常に「ワーム化」しやすく、攻撃は自動的に実行されます。EternalBlue社のWannaCryワームを覚えていますか?URGENT/11も同様に、世界的な頭痛の種となる可能性があります。

どうすればいいのでしょうか?

さて、この記事を書いている時点では、URGENT/11の結果はまだ不明です。メディアは業界に知らしめ、ウインドリバーは影響を受けた人々に明確なサポートを提供しています。今後数ヶ月の間に、これらの既知の欠陥を悪用する攻撃者が現れるかどうかはわかりませんが、それまでの間は、多くのアドバイスに耳を傾け、関連するデバイスにパッチを適用することが明らかな解決策となります。

長期的には、「ソフトウェアのセキュリティに関しては、誰もがより良くなる必要がある」という同じ使命を持っています。URGENT/11 CVEは、一般的に、心配になるほど単純なバックドアであり、長年にわたって発見されなかったという事実は、業界全体の関心と意識がかなり低いことを示しています。

すべての開発者には、自分の役割を果たすチャンスがあります。そして、開発者には、生産の初期段階からコードのセキュリティを確保する方法を学ぶためのサポートが必要です。彼らの周りにいる影響力のあるチーム、つまりAppSecからC-suiteまでのすべての人は、ビジネス内のすべてのソフトウェアタッチポイントでポジティブなセキュリティ文化が繁栄することを確実にすることができます。

自分のセキュリティ意識を試してみませんか?私たちのゲーム性のあるプラットフォームでは、URGENT/11で発見されたものと同じような実際のコードチャレンジを行うことができます。挑戦してみてはいかがでしょうか。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

The Great Global Patch」。VxWorksの欠陥により数百万台のデバイスが危険にさらされる

2019年08月05日掲載
Pieter Danhieux著

VxWorksは一般消費者にはあまり知られていませんが、このソフトウェア製品は必然的にあなたや私のような多くの人々に毎日恩恵を与えています。世界で最も普及しているリアルタイム・オペレーティング・システム(RTOS)であるVxWorksは、企業のネットワークやファイアウォール、航空宇宙分野のインターフェース、産業機器、さらには医療機器など、私たちが(代理で)頼りにしている主力製品です。

そして今、私たちは、これらのデバイスのうち、少なくとも11個の脆弱性がある、数十億とは言わないまでも、数億のデバイスが危険にさらされている可能性に直面しています。ウインドリバー社のチーフ・セキュリティ・アーキテクトであるアーレン・ベイカーは、SearchSecurity社の記事の中で、この数字に異議を唱え、正確な範囲は未確認であり、そこまで多いとは考えられないと明かしています。今回確認された脆弱性は、比較的容易に悪用できるものばかりで、その多くは、ネットワークパケットの送信によって攻撃者が機器を遠隔操作できるというものです。

もちろん、ウインドリバー社は、影響を受けるお客様や関係者に一連の修正プログラムやパッチをリリースしています。サノスが指をクリックするだけで世界を終わらせてしまうように、多くのデバイスがパッチを当てられないまま、つまり脆弱な状態で長期間放置されることは避け られません。

セキュリティ企業のArmis社は、この大発見を「URGENT/11」と名付けました。今回の発見は、複数のベクターからの攻撃が容易であることと、広範な感染の可能性があることから、深刻な問題であるとしています。MRIスキャナーやVOIP製品、電車のネットワークや信号機など、あらゆるソフトウェアにワームを作成して展開することは十分可能です。

パニックになる時期なのか?

セキュリティ意識を高めることを人生の重要な使命としている者として、私は日々多くの潜在的なセキュリティ問題を目にしています。慌てすぎてしまうと、一日の大半をヒステリックに過ごしてしまうでしょう(結局のところ、私は教育やバグ修正の手助けをする仕事に就きたいのです!)。しかし、URGENT/11の発見範囲はかなり怖いものがあります。見つかった11件の脆弱性のうち、6件が重要とされています。The Hacker Newsによると、これらの脆弱性は、VxWorksのバージョン6.5以降(VxWorks 653やVxWorks Cert Editionなど、認証用に設計されたバージョンを除く)のデバイスに存在しており、重要な技術が10年以上前からデバイス乗っ取り攻撃の脅威にさらされていたことになります。すべてのデバイスが11の欠陥すべてに対応しているわけではありませんが(攻撃者が同じLABサブネット上にいる場合にのみ悪用できるものもあります)、平凡なハッカーであっても、わずかなチャンスがあれば大丈夫です。

重要なのは、ウインドリバー社が迅速に対応し、アーミス社と同様に問題を軽減するための詳細なアドバイスを提供したことです。また、VxWorks RTOSが広く採用されているのは、信頼性が高く、ソフトウェアの安全性に関する規制で高い評価を受けているからであり、通常、バグバウンティハンターはあまり気にしません。パッチをダウンロードしたり、セキュリティに関するアドバイスに耳を傾けたり、自分のデバイスを強化したりするのはエンドユーザーの手に委ねられており、そこが厄介なところです。

まだ慌てる必要はないかもしれませんが、この獣を服従させるには村が必要になるかもしれません。

URGENT/11の脆弱性の説明

現時点では、バージョン6.5以降の危険なVxWorks TCP/IP IPnetスタックに接続されているデバイスは、少なくともURGENT/11の1つの影響を受ける可能性があります。(ウインドリバー社によるCVEの全リストはこちらをご覧ください)。

これらの欠陥の多くは、リモートコード実行(RCE)やサービス妨害(Denial of Service)攻撃を可能にするもので、いくつかの欠陥は情報漏洩やビジネスロジックの問題にもつながります。リモートコードの実行は、攻撃者がエンドユーザの操作なしにデバイスを制御できるという点で、今回は特にデリケートな問題です。怪しいものをクリックしたり、ダウンロードしたり、情報を入力したりする必要はありません。VxWorksデバイスは非常に「ワーム化」しやすく、攻撃は自動的に実行されます。EternalBlue社のWannaCryワームを覚えていますか?URGENT/11も同様に、世界的な頭痛の種となる可能性があります。

どうすればいいのでしょうか?

さて、この記事を書いている時点では、URGENT/11の結果はまだ不明です。メディアは業界に知らしめ、ウインドリバーは影響を受けた人々に明確なサポートを提供しています。今後数ヶ月の間に、これらの既知の欠陥を悪用する攻撃者が現れるかどうかはわかりませんが、それまでの間は、多くのアドバイスに耳を傾け、関連するデバイスにパッチを適用することが明らかな解決策となります。

長期的には、「ソフトウェアのセキュリティに関しては、誰もがより良くなる必要がある」という同じ使命を持っています。URGENT/11 CVEは、一般的に、心配になるほど単純なバックドアであり、長年にわたって発見されなかったという事実は、業界全体の関心と意識がかなり低いことを示しています。

すべての開発者には、自分の役割を果たすチャンスがあります。そして、開発者には、生産の初期段階からコードのセキュリティを確保する方法を学ぶためのサポートが必要です。彼らの周りにいる影響力のあるチーム、つまりAppSecからC-suiteまでのすべての人は、ビジネス内のすべてのソフトウェアタッチポイントでポジティブなセキュリティ文化が繁栄することを確実にすることができます。

自分のセキュリティ意識を試してみませんか?私たちのゲーム性のあるプラットフォームでは、URGENT/11で発見されたものと同じような実際のコードチャレンジを行うことができます。挑戦してみてはいかがでしょうか。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。