Центр реагирования на киберугрозы в промышленности (ICS-CERT) и Управление по санитарному надзору правительства США (FDA) предупредили пользователей, что уязвимости URGENT/11 затрагивают намного больше продуктов, чем предполагалось ранее. Как оказалось, множественные недостатки стека IPnet актуальны для программного обеспечения Microsoft, Green Hills, ENEA и других поставщиков специализированных решений.

Как выяснили ИБ-специалисты, компонент, содержащий уязвимости, использует не только VxWorks, но и ряд других встраиваемых ОС реального времени. Поскольку Wind River — нынешний издатель VxWorks — в 2006 году поглотила изначального создателя утилиты, компанию Interpeak, обновление старого кода IPnet, встроенного в сторонние продукты, более не производится.

Под угрозой оказались пользователи следующих программ:

  • ThreadX компании Microsoft
  • ZebOS под авторством IP Infusion
  • Operating System Embedded (OSE) компании ENEA
  • INTEGRITY разработки Green Hills
  • ITRON компании TRON Forum

Все эти разработки предназначены для управления промышленными устройствами, преимущественно медицинского назначения.

Реакция разработчиков систем, содержащих URGENT/11

Представители ENEA и Green Hills порекомендовали своим клиентам обновить программное обеспечение до новой версии, которая не содержит проблемного модуля. Если такой апдейт невозможен, пользователям следует обратиться за инструкциями в компанию Wind River, которая теперь владеет лицензией на IPnet.

В Microsoft отметили, что уязвимый компонент не входит в состав ThreadX, однако некоторые производители оборудования могли использовать ее в своих сборках. Представители TRON Forum, в свою очередь, заявили, что лишь выпускают спецификации для своей ОС, а содержимое конкретных модулей определяют сторонние разработчики. По их словам, IPnet не входит в число рекомендованных подсистем ITRON.

Об уязвимостях URGENT/11 стало известно в июле этого года. Среди выявленных недостатков стека TCP/IP самым опасным является RCE-баг CVE-2019-12256, который допускает удаленное выполнение кода неавторизованным пользователем. Проблема, получившая 9,8 балла по шкале CVSS, связана с ошибкой в обработке заголовков входящих запросов.

Категории: Главное, Уязвимости