漏洞影响来自多个供应商的产品

在工业硬件和软件中发现漏洞几乎每天都在发生。因此,自动化的世界不倾向于单独报告它们，因为用户的问题是由他们的供应商通知的，而受影响的供应商通常会立即响应解决问题。

同时通知和补救的过程发生在这个实例中,我们感到发现Armis实验室(物联网安全供应商)的11个零日漏洞在风河的VxWorks权证额外关注由于问题的范围影响几个工业自动化供应商。如果您不熟悉VxWorks，可以告诉您它是工业自动化中使用最广泛的实时操作系统(RTOS)之一。Armis称，VxWorks应用于工业、医疗和企业环境中超过20亿个关键任务系统的设备，如监控控制和数据采集(SCADA)系统、电梯和工业控制器、病人监视器和MRI机、防火墙、路由器、调制解调器、VOIP电话和打印机。

风河公司指出，Armis实验室引用的20亿台设备与风河公司VxWorks的客户群有关，而不是受影响的设备总数。“这些漏洞实际上影响了我们的一小部分客户，主要包括面向互联网的企业设备，如调制解调器、路由器和打印机，以及一些工业和医疗设备，”风河公司企业通信高级主管杰西卡·米勒(Jessica Miller)说。

为了让您了解此问题的范围，Armis发布了以下可能受到Urgent/11影响的使用VxWorks版本的公司和/或设备列表:ABB、Arris调制解调器、Avaya VOIP媒体网关、百通工业设备，德尔格,京瓷打印机,NetApp，飞利浦,理光打印机,罗克韦尔制度、三星打印机,施耐德电气，西门子，Sonicwall，伍德沃德,施乐公司．

Github持续跟踪供应商对Urgent/11的响应。您可以跟随他们的更新汇编在这里．

在Armis在VxWorks中发现的11个零日漏洞(名为Urgent/11)中，它认为其中6个是严重的。“紧急/11包括6个远程代码执行漏洞，可以让攻击者通过未经认证的网络包完全控制目标设备，”Armis在一份关于这些漏洞的发布中表示。任何利用包括IPnet堆栈的VxWorks连接的设备都受到至少一个已发现的漏洞的影响。它们包括位于面向internet的组织网络外围的一些设备，如调制解调器、路由器和防火墙。这种设备中的任何漏洞都可能使攻击者直接从互联网上攻破网络。一旦设备建立了与互联网的TCP连接，受到外围安全措施保护的设备也可能容易受到攻击。这些连接可以被劫持，并被用来触发已发现的TCP漏洞，允许攻击者接管设备，访问内部网络，并造成类似于从规模的破坏EternalBlue阿米斯在一份新闻稿中说。

由于系统中使用的RTOS类型通常不是公开可用的，如果供应商不在上面的列表中，最好联系他们，以确定您的设备是否可能暴露于此漏洞。

这种情况已经发生到了这样的程度，以至于一些供应商发布了关于他们产品的紧急/11状态的公告。例如，Opto 22发布公告称，其groov EPIC(边缘可编程工业控制器)、groov Box边缘设备、SNAP PAC系统和SNAP以太网I/O产品不受该漏洞的影响。Opto 22在其传统产品上使用不同的私有RTOSs，并为groov EPIC使用开源Linux软件。

“当然，Linux也不能对VxWorks漏洞之类的问题免疫，”Opto 22市场营销和产品策略副总裁本森·霍兰德(Benson Hougland)说。但是，随着大量开源开发者社区不断贡献和审查代码，这些问题通常会很快被发现并修复。风河公司的VxWorks不是开源的，因此，它无法从严格的同行评审过程中获益。事实上，现在已经知道VxWorks在2006年就有这些漏洞了。”

要了解更多关于在工业产品中使用开源软件的信息，请查看自动化的世界的播客上的话题:开源软件是SCADA的好选择吗．霍兰德和Opto 22的特里·奥查德参加了本播客的采访。