紧急/ 11进一步提升VxWorks安全性
作者:阿伦·贝克,风河首席安全架构师
与安全研究社区合作
在风河,安全是与生俱来的。这是我们在关键任务系统方面近40年丰富遗产的一部分。这是我们提供的所有技术,以帮助我们的客户开发可信和可靠的解决方案。我们非常重视安全问题,这就是为什么最近在TCP/IP (IPnet)网络堆栈中发现的漏洞,称为“Urgent/11”,导致了迄今为止最安全的VxWorks。
这些漏洞是由安全供应商Armis的研究人员发现的,通过相互拥抱和负责任的披露,风河公司专门的安全事件响应团队与Armis密切合作,确保客户得到通知,并提供补丁和缓解选项。这种共享、协作的流程的设计和执行,是为了帮助设备制造商减轻对用户的潜在风险。我们感谢安全研究人员帮助我们发现IPnet网络栈中的这些漏洞。
重要的是要注意,这些漏洞并不是风河软件独一无二的。IPNET堆栈由Wind River于2006年获取Interpeak获取。在收购之前,堆栈广泛地许多许多其他实时操作系统(RTOS)供应商。
作为世界上应用最广泛、最受信赖的实时操作系统供应商,我们是领先的技术公司之一,有责任建立一个审慎的安全响应流程。这是我们的客户可以信赖的许多事情之一。
IPnet网络堆栈是一些VxWorks版本的组成部分,包括6.5版本的EOL版本。具体来说,利用包括IPnet栈的旧标准VxWorks版本的连接设备会受到一个或多个已发现的漏洞的影响。最新版本的VxWorks不受紧急/11漏洞的影响,风河公司为安全认证而设计的任何安全关键产品(如用于关键基础设施的VxWorks 653和VxWorks Cert Edition)也不受影响。
受影响的设备只占我们客户基础的一小部分,主要包括位于组织网络外围的非关键和面向internet的企业设备,如调制解调器、路由器和打印机,以及一些工业和医疗设备。阿姆斯提到的2亿人的数字没有得到证实,我们也不相信这个数字有那么高。
并非所有漏洞都适用于所有受影响的版本。迄今为止,没有指示紧急/ 11漏洞已经在野外被利用。组织使用具有IPNet网络堆栈的VxWorks的受影响版本的组织部署设备应立即修补受影响的设备。
防御深度的重要性
很难在代码中找到漏洞,而且有些人会以您没有预料到的方式攻击代码。此外,安全漏洞多年未被发现的情况并不罕见。有很多例子:Spectre/Meltdown存在于数十家制造商的数百万处理器中,十年来都未被发现;像“心脏出血”这样的OpenSSL漏洞已经存在很多年了。事实是,现代软件系统非常复杂,具有非常丰富的功能和多年来编写的大量代码库,对安全编程的认识不断提高,审查水平不断提高。
出于这个原因,风河采取了一种系统的方法来保护嵌入式系统-见风河螺旋安全框架。将行业标准机密性、完整性和可用性(CIA)分解为与安全相关的类别,并将这些类别分解为与安全相关的实现,这种分解定义了嵌入式系统的安全策略。用于保护嵌入式系统的安全相关实现的集合与的概念直接一致国防- - - - - -深入。如果设备制造商遵循这些最佳实践,他们就可以避免许多可能被利用的漏洞。
以下内置的VxWorks安全特性可以应用于形成一个健壮的系统,并保护对IPnet漏洞的识别:
VxWorks安全功能 | 原则 | 类别 | 实现 |
可执行的堆栈 | 可用性 | 入侵保护 | 恶意软件预防 |
实时过程 | 保密 | 分离 | 分区 |
系统调用访问控制 | 可用性 | 白名单 | 访问控制 |
任务堆栈溢出/暗流 | 可用性 | 入侵保护 | 恶意软件预防 |
防火墙 | 可用性 | 入侵保护 | 防火墙 |
确定性记忆使用 | 可用性 | 对策 | 认证 |
为了制定全面的安全策略,需要对客户的系统进行全面的审查。
根据一份国土安全报告*,“组织不能依靠单一对策来缓解所有安全问题。“不幸的是,使用SKPP认证的内核作为系统的一部分并不能立即使系统整体上高度健壮。”简而言之,依赖单个组件是一种失败的安全策略。
用风河软件设计一个安全系统
虽然没有任何软件能免受零日漏洞的影响,但客户可以满怀信心地使用风河软件构建自己的可信系统。我们严格的发布过程包括回归/网络测试,静态分析和恶意软件扫描。我们的CVE监测/评估,以及安全服务产品,确保最坚固的系统在最初投入使用后,也能在系统的整个生命周期内得到维护。我们还得到了由公司组成的强大安全生态系统的支持,这些公司补充了我们的产品和专业知识。
风河专业服务提供以下安全相关产品:
- 长期安全服务——将支持产品的安全补丁应用到EOL和该产品的遗留版本
- 安全评估-全面审视客户的嵌入式系统、操作环境,并确定确保系统安全的最佳方法
- 嵌入式安全培训——为客户的员工提供如何建立一个安全的嵌入式系统的基础培训
- FIPS 140-2和通用标准评估-使客户的产品进一步触及政府组织
- 安全功能配置评论
- 信息保障基础——进一步支持基于硬件的安全特性(如SEC引擎、TPM等)为客户创建定制的解决方案
我们的解决方案和服务提供一切所需的安全硬件和软件,保护设备之间和跨系统的通信,随着时间的推移保护它们,并迅速应对新的威胁。此外,我们的开发流程和安全功能满足了许多行业的严格要求。点击在这里要学习更多的知识。
有关IPnet漏洞的更多信息,包括安全建议、FAQ、补丁信息和其他缓解选项,请参见风河安全警报。你也可以联系风河系统公司的支持与任何问题。
一如既往,风河随时准备帮助我们的客户确保他们的设备和系统的安全。
*推荐实践:2016年9月,以深度防御战略改善工业控制系统网络安全
*商品工作站的分离内核,2010年3月