新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 業(yè)界動態(tài) > 緊急:11項(xiàng)安全漏洞突現(xiàn),尤顯VxWorks安全

緊急:11項(xiàng)安全漏洞突現(xiàn),尤顯VxWorks安全

作者:Arlen Baker,風(fēng)河首席安全架構(gòu)師 時(shí)間:2019-07-30 來源:電子產(chǎn)品世界 收藏

與安全研究社區(qū)合作

本文引用地址:http://2s4d.com/article/201907/403232.htm

風(fēng)河認(rèn)為,安全性根植于我們的DNA深處。這是我們近40年來在關(guān)鍵任務(wù)系統(tǒng)中無盡遺產(chǎn)的組成部分,融匯于我們提供的所有技術(shù)之中,幫助我們的客戶開發(fā)出可靠且值得信賴的解決方案。我們極致重視安全性,正因?yàn)槿绱耍罱赥CP/IP(IPnet))網(wǎng)絡(luò)堆棧中發(fā)現(xiàn)并被強(qiáng)調(diào)為“緊急(Urgent)”的11項(xiàng)漏洞,反而更進(jìn)一步凸顯了迄今為止最安全的實(shí)時(shí)操作系統(tǒng)——

這些漏洞是被網(wǎng)絡(luò)安全公司Armis發(fā)現(xiàn)的。通過互動順暢的“負(fù)責(zé)任披露(Responsible Disclosure)”模式,風(fēng)河公司專設(shè)的安全事件響應(yīng)團(tuán)隊(duì)與Armis密切合作,確??蛻裟軌颢@得通知和所需的補(bǔ)救/補(bǔ)丁。這一共享與協(xié)作的流程旨在幫助設(shè)備制造商降低其用戶的任何潛在風(fēng)險(xiǎn)。我們感謝Armis在發(fā)現(xiàn)這些漏洞的過程中為大家所做的一切。

作為世界上應(yīng)用最廣泛、最值得信賴的實(shí)時(shí)操作系統(tǒng)(RTOS)的供應(yīng)商,以及領(lǐng)先技術(shù)企業(yè)的一員,我們有責(zé)任建立一個(gè)縝密的安全響應(yīng)流程。我們的客戶在許多方面都信賴我們,這便是其中原因之一。

IPnet網(wǎng)絡(luò)棧是某些版本的組件之一,包括生命周期已經(jīng)結(jié)束(EOL)的6.5版本。具體來說,有些互聯(lián)設(shè)備采用的是較老標(biāo)準(zhǔn)版本的,其中包含的IPnet堆棧受到了一個(gè)或多個(gè)已發(fā)現(xiàn)漏洞的影響。最新版本的VxWorks不會受這些漏洞的影響。

風(fēng)河公司的安全關(guān)鍵產(chǎn)品(如VxWorks 653和VxWorks CERT版本)原本的設(shè)計(jì)目標(biāo)就具備通過認(rèn)證的水平,因此也不會受到任何影響。非常重要的一點(diǎn)是,應(yīng)該注意到,并不是所有發(fā)現(xiàn)的漏洞都存在于每一個(gè)產(chǎn)品之中。有關(guān)受影響/未受影響版本的完整詳細(xì)信息,請參見安全咨詢信息。

這些受影響的設(shè)備在我們客戶群中只占一小部分,主要存在于企業(yè)設(shè)備之中,被部署在網(wǎng)絡(luò)周邊面對互聯(lián)網(wǎng)的部位,如調(diào)制解調(diào)器、路由器和打印機(jī),以及一些工業(yè)和醫(yī)療設(shè)備。

在這11個(gè)漏洞中,有6個(gè)是Remote Code Execution(RCE,遠(yuǎn)程代碼執(zhí)行)漏洞;在這6個(gè)漏洞中,有4個(gè)可以通過一個(gè)簡單的防火墻規(guī)則予以緩解。到目前為止,沒有跡象表明這11個(gè)漏洞已造成后果。

這些漏洞并不是風(fēng)河軟件獨(dú)有的。2006年,風(fēng)河通過收購Interpeak獲得了IPnet Stack。在此項(xiàng)收購之前,這個(gè)堆棧已經(jīng)被廣泛授權(quán)給許多其他RTOS供應(yīng)商并由其部署在應(yīng)用中。

深度防御的重要性

在代碼中找到漏洞是非常困難的,而且有些人會以您沒有預(yù)料到的方式對這些代碼發(fā)起攻擊。實(shí)際上,安全漏洞在未被發(fā)現(xiàn)的情況下運(yùn)行很多年,這并非十分罕見的情況。這樣的實(shí)例有很多:Spectre/Meltdown 就曾經(jīng)存在于數(shù)十家制造商生產(chǎn)的數(shù)百萬個(gè)處理器中,使用了十多年之后才被發(fā)現(xiàn);OpenSSL漏洞,例如HeartBleed也暗藏了很多年。事實(shí)上,現(xiàn)代軟件系統(tǒng)非常復(fù)雜,功能非常豐富,多年來編寫的大量代碼,不斷提高對安全編程的認(rèn)識,并不斷提高審查水平。

以下VxWorks內(nèi)置的安全特性可用于建構(gòu)一個(gè)強(qiáng)大的系統(tǒng),并且可以對已經(jīng)發(fā)現(xiàn)的IPnet漏洞做出防護(hù):

1564476949174831.png

要定義一套完整的安全策略,就必須對客戶的系統(tǒng)進(jìn)行全面審核。

《國土安全》有文章*指出,“任何組織機(jī)構(gòu)都不能依靠單一對策來解決全部安全問題?!泵绹鴩野踩窒聦俚男畔⒈Wo(hù)署(Information Assurance Directorate)也有文章*指出,“不幸的是,將一個(gè)SKPP認(rèn)證的內(nèi)核作為系統(tǒng)組成部分,并不能立即使系統(tǒng)在整體上具備高度的穩(wěn)健性?!焙唵蝸碚f,僅僅依賴單個(gè)組件,這是一種失敗的安全策略。

利用風(fēng)河軟件構(gòu)建安全系統(tǒng)

雖然沒有任何軟件能夠抵御零時(shí)差攻擊(Zero-Day Vulnerabilities),但客戶可以應(yīng)用風(fēng)河公司的軟件來構(gòu)建他們的可信賴系統(tǒng)。我們的產(chǎn)品發(fā)布流程極為嚴(yán)格,包括回歸/網(wǎng)絡(luò)測試、靜態(tài)分析和惡意軟件掃描。我們的CVE監(jiān)控/評估,再加上安全服務(wù)產(chǎn)品,可以確保最初部署的就是最堅(jiān)固的系統(tǒng),而且在該系統(tǒng)的整個(gè)生命周期內(nèi)提供維護(hù)。我們還得到了由Armis等公司組成的強(qiáng)大安全生態(tài)系統(tǒng)的支持。

“風(fēng)河專業(yè)服務(wù)”提供以下安全相關(guān)服務(wù):

·安全評估 - 全面深入地審視客戶的嵌入式系統(tǒng)、操作環(huán)境,并確定足以保障系統(tǒng)安全的最佳方法

·嵌入式安全培訓(xùn) -為客戶的員工提供有關(guān)如何構(gòu)建安全嵌入式系統(tǒng)的基礎(chǔ)培訓(xùn)

·FIPS 140-2和通用標(biāo)準(zhǔn)評估 - 使客戶的產(chǎn)品能夠進(jìn)一步符合政府機(jī)構(gòu)的規(guī)范

·安全特性配置檢查

·長期安全服務(wù) - 將安全補(bǔ)丁應(yīng)用于所支持的產(chǎn)品,直到其生命周期結(jié)束,并延伸至這些產(chǎn)品的遺留版本

·信息保障基礎(chǔ) - 進(jìn)一步支持基于硬件的安全功能(例如SEC引擎、TPM等)以便為客戶創(chuàng)建定制的解決方案

我們的解決方案與服務(wù)可滿足安全硬件和軟件的全部需求,足以保障設(shè)備之間以及跨系統(tǒng)的通信,為它們提供長期的防護(hù),以及快速的反應(yīng),使它們免于收到隨時(shí)出現(xiàn)的新威脅。而且,我們的開發(fā)流程和安全功能可以滿足許多行業(yè)的嚴(yán)格要求。

關(guān)于IPnet漏洞的更多詳細(xì)信息,包括安全咨詢和補(bǔ)丁信息,請參見 Wind River Security Alert ,呈現(xiàn)于 Wind River Security Center. 您也可通過 Wind River Support 提出您的任何問題。

一如既往,風(fēng)河隨時(shí)準(zhǔn)備幫助我們的客戶,確保其設(shè)備和系統(tǒng)的安全。

*推薦的實(shí)例:以深度防御戰(zhàn)略改善工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全,2016年9月

*商業(yè)化工作站上的分離內(nèi)核,2010年3月



關(guān)鍵詞: 11項(xiàng)安全漏洞 VxWorks

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉