Numéro : AL19-015
Date : 29 juillet 2019
PUBLIC
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leur organisme respectif.
OBJECTIF
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. À la demande des destinataires, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) offre également une assistance additionnelle concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
La plateforme Wind River VxWorks est un système d’exploitation en temps réel largement utilisé dans les dispositifs liés aux SCI et déployés dans plusieurs secteurs, notamment le secteur des télécommunications, le secteur manufacturier essentiel, le secteur de l’énergie, des soins de santé et du système de santé publique, les systèmes de transports, les systèmes d’eau potable et d’eaux usées, et autres.
Plusieurs vulnérabilités existent dans la pile TCP/IP par défaut de VxWorks (appelé IPnet). Ces vulnérabilités sont présentes dans toutes les versions récentes et non certifiées de VxWorks. Certaines vulnérabilités peuvent permettre l’exécution de code à distance, des dénis de service et des fuites d’information.
ÉVALUATION
On retrouve les vulnérabilités suivantes dans la pile TCP/IP de VxWorks :
- CVE-2019-12255 - Pointeur d’urgence TCP = 0 piste vers le dépassement de précision d’entier (integer underflow).
- CVE-2019-12256 - Débordement de pile dans le code d’analyse des options IP du paquet IPv4.
- CVE-2019-12257 - Débordement du tas (heap overflow) dans l’analyse DHCP Offer/Ack dans ipdhcpc.
- CVE-2019-12258 - Déni de service de la connexion TCP par l’entremise d’options TCP inadéquatement constituées.
- CVE-2019-12259 - Déni de service par déréférence NULL dans l’analyse IGMP.
- CVE-2019-12260 - État de confusion du pointeur d’urgence TCP causé par une option TCP AO inadéquatement constituée.
- CVE-2019-12261 - État de confusion du pointeur d’urgence TCP durant la connexion() à un hôte distant.
- CVE-2019-12262 - Traitement des réponses ARP inversées non sollicitées (faille de logique).
- CVE-2019-12263 - État de confusion du pointeur d’urgence TCP causé par une concurrence critique (race condition).
- CVE-2019-12264 - Faille de logique dans l’attribution IPv4 par le client DHCP ipdhcpc.
- CVE-2019-12265 - Fuite d’information IGMP par l’entremise de rapports spécifiques d’abonnement IGMPv3.
Les dispositifs qui utilisent les versions suivantes de VxWorks qui utilise la pile TCP/IP pourraient être touchés par une ou plusieurs de ces vulnérabilités et expositions courantes (CVE) :
- Toutes les versions actuellement prises en charge de VxWorks (6.9.4.11, Vx7 SR540, Vx7 SR610).
- Les versions antérieures à VxWorks 6.5.
- Toutes les versions du produit discontinué Advanced Networking Technology (ANT).
- IPnet utilisé comme pile TCP/IP réseau autonome (avant 2006).
- La pile réseau bootROM de VxWorks.
Les produits WindRiver VxWorks ne sont pas touchés par les vulnérabilités :
- VxWorks versions 5.3 à 6.4 inclusivement.
- Toutes les versions CERT de VxWorks.
- VxWorks 653 versions 2.x et antérieures.
- VxWorks 653 MCE 3.x CertEdition et ultérieures.
- VxWorks 653 MCE 3.x pourrait être touché pas la vulnérabilité.
MESURES RECOMMANDÉES
- Wind River a publié une nouvelle version du système d’exploitation en temps réel VxWorks (VxWorks 7 SR620) qui comprend du code auquel des correctifs de sécurité ont été appliqués pour traiter ces vulnérabilités. Si possible, mettez à niveau à la version la plus récente de VxWorks.
- Segmenter les réseaux et mettre en œuvre des zones démilitarisées (DMZ) munies de coupe-feux configurés adéquatement afin de contrôler et surveiller le trafic qui circule entre les zones.
- Réduire au minimum l’exposition des systèmes de tous les dispositifs de contrôle de systèmes et/ou les systèmes et s’assurer qu’ils ne sont pas accessibles depuis Internet.
- Localiser les réseaux des systèmes de contrôle et les dispositifs à distance derrière les coupe-feux et les isoler du réseau opérationnel.
- Lorsqu’un accès à distance est requis, utiliser des méthodes sécurisées comme des réseaux privés virtuels (RPV), si l’on est conscient que les RPV peuvent avoir des vulnérabilités et qu’ils doivent être mis à jour à la plus récente version disponible. Il faut aussi reconnaître que les RPV sont aussi sécuritaires que les dispositifs qui y sont connectés.
Soyez attentifs aux mesures d’atténuation ou aux correctifs supplémentaires qui pourraient être publiés par les fabricants et fournisseurs de dispositifs de SCI.
Références :
Bulletin de sécurité WindRiver: https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/ (en anglais)
Bulletin de sécurité Armis: https://armis.com/urgent11/(en anglais)
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.