Ce billet traite de l’actualité, et parle des failles VxWorks ‘Urgent/11′, d’une étude sur le retour d’expérience concernant les référentiels de cybersécurité industrielle, et des places disponibles pour une formation 1 journée « Cybersécurité industrielle » pour personnel expérimenté en sécurité des SI.

Failles VxWorks

On est bien habitués aux communiqués sur les failles trouvées sur SI industriels, et depuis quelques temps celles-ci sont critiquables, voir les précédents billets de ce blog. C’est encore le cas pour les récentes divulgations concernant des failles multiples dans l’implémentation de la pile IP incluse dans le système d’exploitation VxWorks.

Qu’est-ce que VxWorks ?

Pour caricaturer je dirais que c’est le Windows des automates… C’est un OS temps-réel, c’est à dire où les interruptions sont préemptives (l’horloge est maîtresse) ce qui implique un fonctionnement qui exclut des tâches à durée indéterminée/longue (par exemple pas de ralentissement comme sur Windows en cas de garbage collecting de mémoire, et donc des options d’allocation mémoire bien plus limitées). VxWorks est utilisé dans de très nombreux produits de la couche 1 du modèle CIM, c’est à dire au niveau du pilotage temps-réel des systèmes industriels, typiquement les API – automates, mais aussi des équipements réseaux comme des pare-feux.

L’éditeur Wind River a aujourd’hui une position assez dominante, là où autrefois (il y a 20 ans…) il y avait pléthore d’OS temps réels comme pSOS, HP-RT… On a vu apparaître aussi Linux-RT, racheté puis terminé (en 2011) par… Wind River, qui a ainsi tué son principal concurrent.

Il y a une logique économique à cette situation : le système d’exploitation doit supporter de nombreuses architectures, permettre le développement de drivers, et répondre à des exigences fortes des clients, tout cela pour… pas cher, car on peut le trouver sur des équipements à moins de 100€. A titre de comparaison, j’ai participé au marketing de HP-RT en Europe et les premières licenses « run-time » étaient à $1000 (en 1996, ça ne nous rajeunit pas, j’imprimais moi-même les papiers de licence !).

Quelles sont les 11 failles « Urgent/11″ ?

De nombreuses vulnérabilités ont été trouvés par la société Armis, qui les a nommées « Urgent/11″ dans la pile IP, et concernent toutes les versions récentes de VxWorks. Le score CVSS global des vulnérabilités, attribué par le CERT ICS, est 9.8 / 10, c’est donc « très grave ». La liste des actions possibles est le « top ten » complet des types de vulnérabilités : stack overflow, DoS, remote execution etc.. Cela concerne tous les produits sortis à partir de 2006 : c’est la seule bonne nouvelle, de nombreux équipements industriels sont suffisamment anciens pour ne pas être concernés. Cet article (en anglais) détaille les vulnérabilités trouvées et liste une partie des constructeurs concernés.

L’éditeur a produit des mises à jour, raison pour laquelle l’information est à présent rendue publique.

Quel est le problème ?

En fait il y a de nombreux soucis, qui sont typiques de ces vulnérabilités :

• la communication est approximative, et en particulier, le bulletin officiel du CERT ICS n’inclut pas tous les constructeurs cités par Securityweek, sachant que la liste de Securityweek est forcément également partielle (il y a des dizaines de constructeurs qui utilisent VxWorks, il s ne listent que les majeurs);
• Wind River a publié des correctifs, et une partie des constructeurs a fait le travail pour mettre à jour leur firmware, mais comme souvent la plupart de ces failles vont entrer dans la catégorie des « forever-day ». En effet, il n’est pas possible pour un opérateur de mettre à jour VxWorks indépendamment du firmware fourni par le contructeur, qui inclut l’OS. Bonne note pour Siemens qui au passage a détecté une autre faille dans ses équipements de sécurité pour réseaux électrique SiProtect !
• le fait qu’il est toujours possible, en 2019, de trouver de multiples failles critiques en se penchant sur n’importe quel systèmes ou composant industriel reste symptomatique de la vulnérabilité générale de ces équipements. Les chercheurs ont d’ailleurs uniquement étudié la pile IP, pas l’OS lui-même, sans parler des firmware constructeurs où il doit encore y avoir des tas de failles cachées, la liste va continuer surtout qu’à chaque fois cela fait de la pub pour les chercheurs ou la société qui les dévoile;
• enfin et surtout, comme toujours, il sera très difficile de patcher les équipements concernés, le risque opérationnel et l’effort même en termes de maintenance est souvent jugé disproportionné par rapport au gain de sécurité.

So what ?

Au risque de me répéter, la sécurité des SI industriels n’est pas et ne peut pas être basée sur la sécurité des équipements terminaux, qu’il faut considérer comme très vulnérables jusqu’à preuve du contraire. La cybersécurité des SI industriels doit reposer sur le contrôle d’accès, l’architecture, la détection…

(mise à jour 23/9/2019)  : Isiah Jones, via un groupe de travail ISA, signale qu’il existe des alternatives à VxWorks dont un certifié Critères Communs niveau 6 : « Nucleus real-time OS (RTOS). Some of you were wise enough to upgrade toGreen Hills Integrity RTOS that meets EAL6 ISO Common Criteria security capabilities. « . Il reste cependant difficile de savoir quel constructeur utilise quel OS.

(mise à jour octobre 2019) d’autres OS temps réel sont impactés (même stack IP), et une société de sécurité a développé un exploit qui permet effectivement l’exécution de code arbitraire. Ils ont fait une vidéo assez « flippante » où ils manipulent les paramètres vitaux de patients (automates du domaine de la santé).

Autres informations

Etude “Utilisation effective de référentiels cybersécurité selon domaines et régions”

Cet été Bock Conseil réalise une étude sur l’utilisation effective de référentiels et standards de cybersécurité, par les acteurs de l’industrie. L’objectif est de collecter des vrais retours d’expériences, au delà des discours officiels ou institutionnels…

Cette étude fera l’objet d’une présentation lors de la journée Cybersécurité de l’Exera à Paris le 26 septembre, et bien entendu, les conclusions seront également envoyées aux participants à l’étude.

L’étude est basée sur un questionnaire réduit (10 à 15mn) et éventuellement un échange téléphonique complémentaire. Pour y participer, envoyez un message à etude (à) bockconseil.fr

Formation courte aux SI industriels pour acteurs de la sécurité des SI

Cette formation courte proposée par Orsys est très appréciée (note de satisfaction record), et permet aux acteurs de la sécurité des SI d’avoir en une journée l’essentiel des concepts liés à la cybersécurité industrielle, d’éviter les faux amis (« API », « sécurité »…), de bien comprendre pourquoi la chasse aux vulnérabilités des composants n’est pas l’approche à privilégier  pour les SI industriels, et surtout de connaître les méthodes à privilégier et les outils adaptés.

La prochaine session a lieu le 20 décembre à Lyon. Informations et inscriptions sur le site Orsys.