RNP > Serviços > Segurança em redes > Alertas do CAIS

Vulnerabilidade crítica em sistemas embarcados VxWorks

Alerta do CAIS 20100830

[RNP, 30.08.2010-, revisão 01]

O CAIS está repassando o alerta do US-CERT, intitulado "Wind River Systems VxWorks debug service enabled by default (VU#362332)" que trata de uma vulnerabilidade em sistemas embarcados VxWorks.

O sistema VxWorks foi o sistema embarcado mais popular em 2005 tendo sido desenvolvido pela Wind River Systems, empresa comprada posteriormente pela Intel. Um dos equipamentos que possuem este sistema embarcado são os telefones IP Polycom Soundpoint.

A vulnerabilidade está no serviço de debug (WDB agent), que está habilitado por default em alguns equipamentos, rodando na porta UDP/17185. Segundo [1], este serviço utiliza o protocolo SunRPC e permite que um atacante faça leitura e escrita na memória do equipamento e execução de comandos neste, bastando para isto ter acesso remoto àporta. Como o protocolo utilizado por este sistema é UDP e este não provê autenticação, estabelecimento de conexão e sessão, as requisições feitas ao agente WDB podem ser forjadas (spoofed) pelo atacante.

No momento já existe código (exploit) que explora esta vulnerabilidade disponível na Internet. A exploração desta vulnerabilidade pode permitir execução remota de comandos. Por esta razão o CAIS recomenda a atualização imediata do sistema embarcado.

Sistemas afetados

No momento é conhecido que produtos dos seguintes fornecedores, que implementam VxWorks, são afetados por esta vulnerabilidade:

• 3com Inc
• Actelis Networks
• Alcatel-Lucent
• Allied Telesis
• Alvarion
• amx
• Aperto Networks
• Apple Inc.
• ARRIS
• Avaya, Inc.
• Broadcom
• Canon
• Ceragon Networks Inc
• Cisco Systems, Inc.
• D-Link Systems, Inc.
• Dell Computer Corporation, Inc.
• Digicom
• DrayTek Corporation
• EMC Corporation
• Enablence
• Enterasys Networks
• Epson America, Inc.
• Ericsson
• Fluke Networks
• Foundry Networks, Inc.
• Gilat Network Systems
• Guangzhou Gaoke Communications
• Hewlett-Packard Company
• Huawei Technoligies
• IWATSU Voice Networks
• Keda Communications
• Knovative Inc
• Lenovo
• Lutron Electronics
• Maipu Communication Technology
• Mitel Networks, Inc.
• Motorola, Inc.
• Netgear, Inc.
• Nokia
• Nortel Networks, Inc.
• Polycom
• Proxim, Inc.
• Rad Vision, Inc.
• Ricoh Company Ltd.
• Rockwell Automation
• Shoretel Communications, Inc.
• Siemens
• SMC Networks, Inc.
• TRENDnet
• Tut Systems, Inc.
• Wind River Systems, Inc.
• Xerox

O documento VU#362332 (document revision 50) do US-CERT, que descreve a vulnerabilidade em questão, relaciona diversos outros forcenedores com status "desconhecido" na seção "Vendor Information" (Informação dos fornecedores). Desta forma, é possível que mais fornecedores sejam afetados por esta vulnerabilidade.

Correções disponíveis

Recomenda-se como medida paleativa, bloquear o acesso à porta UDP/17185 e, se possível, desabilitar o sistema de debug (WDB agent).

O CAIS recomenda que entre em contato com o fornecedor para obter uma versão atualizada do sistema embarcado com a correção desta vulnerabilidade.

Para uma lista mais atualizada de produtos afetados, por favor consulte a referência VU#362332, disponível na seção "Mais informações" deste alerta.

Mais informações

• VU#362332: Wind River Systems VxWorks debug service enabled by default
• Shiny Old VxWorks Vulnerabilities [1]
• ICS-CERT ADVISORY - ICSA-10-214-01? VXWORKS VULNERABILITIES

Identificador CVE (http://cve.mitre.org):
CVE-2005-3715, CVE-2005-3804

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @cais_rnp.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais