ルーター、エレベーターなど 2 億台のデバイスに影響を及ぼす脆弱性「URGENT/11」

Armis Labs の研究チームが、Wind River の VxWorks リアルタイム OS(RTOS)に影響を与える可能性のある重大なセキュリティ上の欠陥を 11 件発見しました。VxWorks は同社が「有名ではないが、最も広く使用されているオペレーティングシステム」と呼ぶ OS です。

Armis Labs がまとめて「Urgent/11」と命名したこれらの脆弱性は、2006 年以降のバージョンの VxWorks で稼働するルーター、モデム、ファイアウォール、プリンター、VoIP 電話、SCADA システム、IoT、さらには MRI やエレベーターなど、約 2 億台のデバイスに影響を及ぼします。

デバイスの種類も台数も多いため、パッチの適用は容易な作業ではありません。なぜなら、特にデバイスが何年も前のものである場合など、デバイス所有者が VxWorks を使用していることに気付いていない可能性があるからです。

問題が存在しているのは、VxWorks の TCP/IP スタック(IPnet)です。これは、1987 年に導入されたソフトウェアスタックの一部であり、これまで脆弱性はほとんど発見されていませんでした。

リアルタイム

そもそも、RTOS とは何でしょうか。RTOS は、高速応答を保証する必要があり、処理能力よりも信頼性が重視されるデバイスで使用されます。

たとえば、自動車のエアバッグシステムは最適なタイミングで膨らまなくてはならないため(早すぎても遅すぎてもいけないため)、RTOS が使用されています。

加えて、32 年もの歴史があることから、Wind River の VxWorks は現在 2 億台のデバイスで使用されています。

Armis Labs は次のように書いています。

(引用文日本語訳)VxWorks デバイスの幅広さは驚異的で、Siemens、ABB、Emerson Electric、Rockwell Automation、Mitsubishi Electronic、Samsung、Ricoh、Xerox、NEC、Arris などが VxWorks を採用しています。

ちなみに、2018 年の NASA 火星探査機 InSight でも使用されていましたが、こちらは影響を受けるとは考えられていません。

脆弱性

Wind River に報告された 11 件の CVE(詳細は公式のアラートを参照)の内訳は、6 件の重大なリモートコード実行(RCE)の脆弱性と、DoS 状態、情報漏洩、またはロジックエラーを引き起こす可能性がある 5 件の脆弱性です(RTOS で DoS 状態が発生した場合、深刻な問題となる可能性があります)。

最も懸念されるのは、デバイスがインターネットまたはローカルからアクセスできる場合、脆弱性の悪用が比較的容易であるのに対し、検出が難しい点です。

Armis Labs によると、脆弱性を悪用する攻撃者は、ユーザーが操作しなくても TCP/IP スタックを介して影響を受けるデバイスを制御できます。ファイアウォールはこのような攻撃を検出も阻止もできず、影響を受けるソフトウェアを使用しているデバイスは直接的なリスクにさらされます。

これまでのところ、脆弱性が攻撃に悪用されたことを示す証拠はありません。

影響を受けるバージョンと修正プログラム

2006 年(Wind River が VxWorks を買収した年)にリリースされた 6.5 以降の VxWorks の全バージョンが影響を受けます。ただし、Wind River Advanced Networking Technologies のサポートが終了しているバージョンに加えて、VxWorks がスタンドアロン TCP/IP スタックとして使用されていた一部の古いバージョンも影響を受ける可能性があります。

安全性が重要なシステムで使用される VxWorks 653 および VxWorks Cert Edition は、影響を受けません

Wind River が 7 月 19 日に公開したパッチ(修正プログラム)を、至急適用する必要があります。場合によっては、パッチの適用後にファイアウォールルールを使用するか、ソースコードに修正を加えることで、脆弱性の影響を緩和できる可能性がある、と Armis Labs は述べています。

デバイスが多岐にわたるため、所有者はデバイスメーカーにアップデートを確認することをお勧めします。

深刻な問題になり得る脆弱性を攻撃者が発見する前に研究者が発見し、ベンダーが脆弱性を修正するパッチを作成したのは朗報と言えます。

問題は、所有者がデバイスの詳細を理解しておらず、多くの場合専門知識を必要とするにもかかわらず、大量のデバイスにパッチを適用しなければならないことにあります。

Urgent/11 は、最も厄介な IoT の問題になるかもしれません。