ASA-2019-00503 – Wind River VxWorks: Confusão do estado TCP Urgent Pointer devido à race condition


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00503

Identificador(es)

ASA-2019-00503, CVE-2019-12263, V7NET-2425

Título

Confusão do estado TCP Urgent Pointer devido à race condition

Fabricante(s)

Wind River

Produto(s)

Wind River VxWorks

Versão(ões) afetada(s)

Wind River VxWorks 6 versão 6.7
Wind River VxWorks 6 versão 6.8
Wind River VxWorks 6 versão 6.9 anterior a 6.9.4.12
Wind River VxWorks 7 versões 2.x.x.x anterior a 2.1.0.0
Wind River VxWorks 7 versões 1.x.x.x anterior a 1.4.3.1

Versão(ões) corrigida(s)

Wind River VxWorks 6 versão 6.9.4.12
Wind River VxWorks 7 versão 2.1.0.0
Wind River VxWorks 7 versão 1.4.3.1

Prova de conceito

Desconhecido

Descrição

Uma série de segmentos com e sem o conjunto URG-flag deve chegar em tempo específico enquanto uma aplicação sendo executada pela vítima estiver recebendo dados da sessão. A vítima deve estar usando um kernel SMP e dois ou mais núcleos de CPU, alternativamente, um kernel uni-processador, em que a task de recebimento e a task de rede são executadas em prioridades diferentes.

Um pré-requisito é que o sistema use TCP-sockets e haja pelo menos uma sessão TCP ativada na qual um atacante pode injetar tráfego. Essa vulnerabilidade depende de uma race condition entre a tarefa de rede (tNet0) e a aplicação de recebimento. É essencialmente impossível acionar o race condition em um sistema com apenas uma único thread na CPU e nenhuma maneira de acioná-lo de forma confiável em alvos SMP. O impacto da vulnerabilidade é um buffer overflow de até um TCP receive-windows (por padrão 10k-64k dependendo da versão). O buffer overflow ocorre na task que executa  recv()/recvfrom()/recvmsg(). Aplicações que passam um buffer igual ou maior que um TCP window não são suscetíveis a esse ataque. Aplicações que passam uma variável alocada na stack como buffer são os mais fáceis de explorar. O resultado mais provável é um crash na aplicação que lê do socket afetado. Na pior das hipóteses, essa vulnerabilidade pode levar a RCE (Execução Remota de Código).

Detalhes técnicos

Desconhecido

Créditos

Ben Seri (Armis)

Referência(s)

SECURITY ADVISORY: WIND RIVER TCP/IP STACK (IPNET) VULNERABILITIES
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/security-advisory-ipnet/security-advisory-ipnet.pdf

SECURITY VULNERABILITY RESPONSE INFORMATION – TCP/IP Network Stack (IPnet, Urgent/11)
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/

CVE: CVE-2019-12263 - Wind River Support Network
https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12263

URGENT/11 Information from the Research Team – Armis Labs
https://armis.com/urgent11/

Critical vulnerabilities to remotely compromise VxWorks, the most popular RTOS
https://go.armis.com/hubfs/White-papers/Urgent11%20Technical%20White%20Paper.pdf

Critical Zero Days Remotely Compromise the Most Popular Real-Time OS
https://i.blackhat.com/USA-19/Thursday/us-19-Seri-Critical-Zero-Days-Remotely-Compromise-The-Most-Popular-Real-Time-OS.pdf

CVE-2019-12263
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12263

CVE-2019-12263
https://nvd.nist.gov/vuln/detail/CVE-2019-12263

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.