2019年7月29日 安全

紧急/ 11进一步提升VxWorks安全性

作者:阿伦·贝克,风河首席安全架构师

与安全研究社区合作

在风河,安全是与生俱来的。这是我们在关键任务系统方面近40年丰富遗产的一部分。这是我们提供的所有技术,以帮助我们的客户开发可信和可靠的解决方案。我们非常重视安全问题,这就是为什么最近在TCP/IP (IPnet)网络堆栈中发现的漏洞,称为“Urgent/11”,导致了迄今为止最安全的VxWorks。

这些漏洞是由安全供应商Armis的研究人员发现的,通过相互拥抱和负责任的披露,风河公司专门的安全事件响应团队与Armis密切合作,确保客户得到通知,并提供补丁和缓解选项。这种共享、协作的流程的设计和执行,是为了帮助设备制造商减轻对用户的潜在风险。我们感谢安全研究人员帮助我们发现IPnet网络栈中的这些漏洞。

重要的是要注意,这些漏洞并不是风河软件独一无二的。IPNET堆栈由Wind River于2006年获取Interpeak获取。在收购之前,堆栈广泛地许多许多其他实时操作系统(RTOS)供应商。

作为世界上应用最广泛、最受信赖的实时操作系统供应商,我们是领先的技术公司之一,有责任建立一个审慎的安全响应流程。这是我们的客户可以信赖的许多事情之一。

IPnet网络堆栈是一些VxWorks版本的组成部分,包括6.5版本的EOL版本。具体来说,利用包括IPnet栈的旧标准VxWorks版本的连接设备会受到一个或多个已发现的漏洞的影响。最新版本的VxWorks不受紧急/11漏洞的影响,风河公司为安全认证而设计的任何安全关键产品(如用于关键基础设施的VxWorks 653和VxWorks Cert Edition)也不受影响。

受影响的设备只占我们客户基础的一小部分,主要包括位于组织网络外围的非关键和面向internet的企业设备,如调制解调器、路由器和打印机,以及一些工业和医疗设备。阿姆斯提到的2亿人的数字没有得到证实,我们也不相信这个数字有那么高。

并非所有漏洞都适用于所有受影响的版本。迄今为止,没有指示紧急/ 11漏洞已经在野外被利用。组织使用具有IPNet网络堆栈的VxWorks的受影响版本的组织部署设备应立即修补受影响的设备。

防御深度的重要性

很难在代码中找到漏洞,而且有些人会以您没有预料到的方式攻击代码。此外,安全漏洞多年未被发现的情况并不罕见。有很多例子:Spectre/Meltdown存在于数十家制造商的数百万处理器中,十年来都未被发现;像“心脏出血”这样的OpenSSL漏洞已经存在很多年了。事实是,现代软件系统非常复杂,具有非常丰富的功能和多年来编写的大量代码库,对安全编程的认识不断提高,审查水平不断提高。

出于这个原因,风河采取了一种系统的方法来保护嵌入式系统-见风河螺旋安全框架。将行业标准机密性、完整性和可用性(CIA)分解为与安全相关的类别,并将这些类别分解为与安全相关的实现,这种分解定义了嵌入式系统的安全策略。用于保护嵌入式系统的安全相关实现的集合与的概念直接一致国防- - - - - -深入。如果设备制造商遵循这些最佳实践,他们就可以避免许多可能被利用的漏洞。

以下内置的VxWorks安全特性可以应用于形成一个健壮的系统,并保护对IPnet漏洞的识别:

VxWorks安全功能 原则 类别 实现
可执行的堆栈 可用性 入侵保护 恶意软件预防
实时过程 保密 分离 分区
系统调用访问控制 可用性 白名单 访问控制
任务堆栈溢出/暗流 可用性 入侵保护 恶意软件预防
防火墙 可用性 入侵保护 防火墙
确定性记忆使用 可用性 对策 认证

为了制定全面的安全策略,需要对客户的系统进行全面的审查。

根据一份国土安全报告*,“组织不能依靠单一对策来缓解所有安全问题。“不幸的是,使用SKPP认证的内核作为系统的一部分并不能立即使系统整体上高度健壮。”简而言之,依赖单个组件是一种失败的安全策略。

用风河软件设计一个安全系统

虽然没有任何软件能免受零日漏洞的影响,但客户可以满怀信心地使用风河软件构建自己的可信系统。我们严格的发布过程包括回归/网络测试,静态分析和恶意软件扫描。我们的CVE监测/评估,以及安全服务产品,确保最坚固的系统在最初投入使用后,也能在系统的整个生命周期内得到维护。我们还得到了由公司组成的强大安全生态系统的支持,这些公司补充了我们的产品和专业知识。

风河专业服务提供以下安全相关产品:

  • 长期安全服务——将支持产品的安全补丁应用到EOL和该产品的遗留版本
  • 安全评估-全面审视客户的嵌入式系统、操作环境,并确定确保系统安全的最佳方法
  • 嵌入式安全培训——为客户的员工提供如何建立一个安全的嵌入式系统的基础培训
  • FIPS 140-2和通用标准评估-使客户的产品进一步触及政府组织
  • 安全功能配置评论
  • 信息保障基础——进一步支持基于硬件的安全特性(如SEC引擎、TPM等)为客户创建定制的解决方案

我们的解决方案和服务提供一切所需的安全硬件和软件,保护设备之间和跨系统的通信,随着时间的推移保护它们,并迅速应对新的威胁。此外,我们的开发流程和安全功能满足了许多行业的严格要求。点击在这里要学习更多的知识。

有关IPnet漏洞的更多信息,包括安全建议、FAQ、补丁信息和其他缓解选项,请参见风河安全警报你也可以联系风河系统公司的支持与任何问题。

一如既往,风河随时准备帮助我们的客户确保他们的设备和系统的安全。

*推荐实践:2016年9月,以深度防御战略改善工业控制系统网络安全

*商品工作站的分离内核,2010年3月

以前的商业嵌入式Linux的好处:更快地进入市场
下一个商业嵌入式Linux的好处:长期节省