icetray - Fotolia
Les vulnérabilités URGENT/11 affectent des millions d’appareils utilisant VxWorks
Les chercheurs à l’origine de leur découverte et Wind River, éditeur de VxWorks (un système d'exploitation temps réel), affichent leur désaccord quant au nombre d’appareils et d’utilisateurs véritablement concernés.
Des chercheurs en sécurité ont révélé un lot de rien moins que 11 failles affectant le système d'exploitation temps réel (RTOS) VxWorks. Mais son éditeur Wind River n’appréhende pas le risque de la même manière.
Des chercheurs d'Armis Labs ont découvert des vulnérabilités – qu'ils appellent URGENT/11 – dans la pile TCP/IP de VxWorks. Ce système d'exploitation temps réel est embarqué dans 2 milliards d’appareils. Ces vulnérabilités pourraient affecter plus de 200 millions d’équipements, y compris des contrôleurs de systèmes industriels (ICS), des appareils médicaux, des pare-feu, des téléphones VoIP ou encore des imprimantes.
Dans leur rapport, les chercheurs indiquent que « six de ces vulnérabilités sont classées comme critiques et permettent l'exécution de code à distance. Les autres vulnérabilités sont classées en déni de service, fuites d'informations ou failles logiques. URGENT/11 est sérieux car il permet aux attaquants de prendre le contrôle d’appareils sans interaction avec l'utilisateur, et même de contourner les systèmes de sécurité périmétrique tels que pare-feu et solutions NAT ». Pour les auteurs du rapport, ces caractéristiques « dévastatrices » sont susceptibles de permettre l’exploitation des vulnérabilités par des vers : « elles peuvent être utilisées pour propager des maliciels dans et au sein de réseaux. Une telle attaque présente un potentiel sévère, rappelant la vulnérabilité EternalBlue utilisée pour répandre le malware WannaCry ».
Une portée qui fait débat
Selon Wind River, Armis a révélé les vulnérabilités de VxWorks en mars. Les premiers correctifs ont été créés et testés en mai, et les clients ont été informés en juin par un avis de sécurité. Toutes les corrections ont été publiées dans le cadre de VxWorks 7, le 19 juin. Cependant, Arlen Baker, architecte en chef de la sécurité pour Wind River, conteste l'affirmation selon laquelle les vulnérabilités de VxWorks touchaient 200 millions de dispositifs, affirmant que ce nombre « n'est pas confirmé ». Pour lui, il ne devrait pas être aussi élevé.
Dans un billet de blog, Arlen Baker affirme que « ceux qui sont touchés constituent un petit sous-ensemble de notre base installée et recouvrent principalement des appareils d'entreprise situés au périmètre de réseaux non critiques et non exposés sur Internet, comme des modems, routeurs et imprimantes, ainsi que certains appareils industriels et médicaux ». Subtilité : « Wind River ne définit pas les périphériques critiques comme ceux que l'on trouve dans les environnements d'entreprise, mais comme ceux que l'on trouve dans les infrastructures critiques », explique un porte-parole.
Mais pour Deral Heiland, responsable de la recherche sur les objets connectés chez Rapid7, les six vulnérabilités permettant l’exécution de code à distance « sont très préoccupantes » : « je m'attendrais à ce que plusieurs d'entre elles, sinon toutes, soient transformées en exploits fonctionnels. Mais, tout ne peut pas être exploité sur Internet ; l’une d’entre elles ne peut l'être que si l'attaquant se trouve sur le même sous-réseau LAN ». Toutefois, « avec une telle base installée de systèmes utilisant des versions vulnérables de VxWorks, ce problème pourrait devenir critique pour les organisations qui ne sont pas au courant de ce qu'elles ont déployé ou qui n'ont pas mis en place des programmes de gestion des correctifs efficaces ».
Craig Young, chercheur en sécurité informatique chez Tripwire, estime qu'en raison de la connaissance spécifique de VxWorks nécessaire, les exploits devraient se limiter « très probablement » à des opérations visant des produits spécifiques « avec un éventail de version précis ».
Armis a noté que des correctifs sont disponibles pour les pare-feu SonicWall et les imprimantes Xerox. Belden, Rockwell ou encore ABB comptent parmi les acteurs concernés ayant commencé à informer leurs clients.