Wind River VxWorks et URGENT/11 : Appliquez le correctif maintenant

By

Avis: Les pare-feu physiques SonicWall utilisant certaines versions de SonicOS utilisent un code TCP/IP tiers pour la gestion à distance qui contient des vulnérabilités appelées URGENT/11. À l’heure actuelle, rien n’indique que les vulnérabilités découvertes soient exploitées à l’état sauvage, cependant :

SonicWall recommande FORTEMENT d’appliquer immédiatement le correctif SonicOS. Les correctifs sont disponibles pour toutes les versions récentes de SonicOS. Des instructions détaillées sont fournies dans le document Conseil de sécurité.

SonicWall fournit gratuitement les versions corrigées de SonicOS, y compris pour les clients qui ne sont pas actuellement couverts par un contrat d’assistance actif. SonicWall recommande également la mise à jour à la dernière version de SonicOS (6.5.4.4), qui offre des capacités de pare-feu pour aider à protéger d’autres appareils vulnérables à l’URGENT/11.


Vulnérabilités Wind River VxWorks et URGENT/11

Les chercheurs en sécurité d’Armis ont découvert et divulgué de manière responsable 11 vulnérabilités dans la pile TCP/IP du système d’exploitation en temps réel VxWorks de Wind River, qui est utilisé par des millions d’appareils à travers le monde, ainsi que dans l’espace, sur Mars, et dans certaines versions de SonicOS. La pile TCP/IP VxWorks Wind River, appelée IPNET, contient des vulnérabilités qui ont été baptisées « URGENT/11 ». Le type de vulnérabilité de matériel ayant affecté SonicOS est pris en charge par les versions du correctif.

Impossible à gérer et à corriger : le Far West de l’IdO

Wind River VxWorks est un système d’exploitation en temps réel largement utilisé dans l’IdO et les applications embarquées, comme les réseaux, les télécommunications, l’automobile, la santé, l’industrie, l’électronique grand public, l’aérospatial et au-delà.

Alors que les pare-feu visent à protéger les périmètres des entreprises, ils sont gérés et surveillés activement, souvent depuis un emplacement central. Pour chaque pare-feu, il y a une personne qui se réveille chaque matin en se demandant : « Mon pare-feu fonctionne-t-il ? Est-il à jour ? » Dans les jours qui suivent la publication d’une mise à jour, ces personnes programment une fenêtre de maintenance et comblent les failles de sécurité.

Cependant, pour la plus grande majorité des autres appareils connectés ou exposés à Internet, ces personnes n’existent pas, et le nombre d’appareils de l’« IdO » est clairement plus important que celui des pare-feu. C’est cette multitude d’appareils connectés qui ne sont pas gérés ou réparés activement qui présente un risque de type iceberg pour Internet. Des vulnérabilités finissent par être découvertes, même sur les meilleurs logiciels, et la sécurité d’Internet et de l’écosystème en ligne repose sur la capacité à diffuser et à déployer les correctifs.

Dans la mise à jour semestrielle du Rapport sur les cybermenaces de SonicWall – 2019, les chercheurs des Capture Labs de SonicWall ont déjà enregistré 13,5 millions d’attaques sur l’IdO, soit 54,6 % de plus que les deux premiers trimestres de 2018.

Cette réalité s’impose chez les spécialistes de la sécurité, mais aussi chez les régulateurs gouvernementaux, car des centaines de millions d’appareils connectés à Internet sont jugés vulnérables et ne sont pas corrigés.

C’est l’un des aspects sous-jacents risqués d’Internet, mené par l’explosion des appareils d’IdO, y compris des appareils de bonne qualité pour le grand public qui sont fréquemment déployés à la pointe de l’Internet et oubliés pendant une décennie. La portée élargie de l’IdO devrait se propager à travers plusieurs secteurs et agir comme une prise de conscience.

« N’arrêtez jamais d’appliquer des correctifs »

L’armement des vulnérabilités publiées par rapport aux anciens logiciels sert de rappel important pour que les clients ne retardent jamais les mises à jour logicielles, qui sont l’une des mesures les plus importantes que vous puissiez prendre pour sécuriser votre infrastructure face à l’évolution rapide du paysage des menaces.

Ne les ignorez pas et ne les retardez pas. Appliquez le correctif maintenant. Et n’arrêtez jamais d’appliquer des correctifs.

John Gmuender
Senior VP, Chief Technology Officer | SonicWall
John Gmuender has over 30 years of software and hardware engineering experience including 25 years of startup and corporate management. Mr. Gmuender is the visionary and technical leader behind SonicWall's Reassembly-Free Deep Packet Inspection (RF-DPI) technology and SonicWall's Massively Scalable Multi-Core Security Architecture and Platform. At SonicWall, he has led the network security line through four successful product generations, enabling new business models for the company and the industry, including the cloud-delivered subscription services model. Mr. Gmuender came to SonicWall with the acquisition of SecureCom Networks, the startup he founded and led as CEO and VP of Engineering. Prior to SecureCom Networks, Mr. Gmuender led his engineering and networking consulting company, GUM, providing detailed engineering expertise in networking, security, software, and hardware, to many companies including JMA/Network Translation, the developer of the PIX firewall prior to its acquisition by Cisco in 1996. During his career, Mr. Gmuender has held management and engineering roles in the development of x86 and Sparc microprocessors at Cyrix and Fujitsu/HaL Computer Systems respectively, and began his career at IBM in the Communications Division. Mr. Gmuender has numerous patents and publications in both hardware and software, and graduated Summa Cum Laude with a Bachelor of Science degree in Electrical Engineering from North Carolina State University.