「VxWorks」にゼロデイ脆弱性、「URGENT/11」は2億個のデバイスに影響：IoTセキュリティ

米国のIoTセキュリティベンダーであるアーミスは、ウインドリバーのRTOS「VxWorks」のゼロデイ脆弱性を発見したと発表。バージョン6.5以降のVxWorksで、IPnetスタックを用いるものが対象となる。

[朴尚洙，MONOist]

　米国のIoTセキュリティベンダーであるアーミス（Armis）は2019年7月29日（現地時間）、ウインドリバー（Wind River Systems）のRTOS（リアルタイムOS）「VxWorks」のゼロデイ脆弱性を発見したと発表した。バージョン6.5以降のVxWorksで、IPnet（TCP/IP）スタックを用いるものが対象。ただし、航空機や機能安全など規格認証が求められる機器向けに設計された「VxWorks 653」や「VxWorks Cert Edition」は対象になっていない。

　アーミスは、発見したゼロデイ脆弱性が11個あることから、これらをまとめて「URGENT/11」と呼称している。ウインドリバーはアーミスの報告を受けてから共同して問題に対処しており、2019年6月には顧客にURGENT/11について通知し、対応するためのパッチも既に発行している。VxWorksを搭載する機器を展開している企業や組織は、直ちにパッチを適用する必要がある。パッチなどの詳細は、Wind River Security Center内の「Security Alert」を参照のこと。なお、両社によれば、URGENT/11を悪用した攻撃は確認されていないという。

「URGENT/11」のロゴ 出典：アーミス

VxWorksを搭載するデバイスは20億個以上

　VxWorksは、プラントや工場向けのSCADAやPLCをはじめとする制御システム、エレベーター、患者モニター、MRI装置といった産業機器や医療機器の他、企業の通信インフラに用いられているファイアウォールやルーター、衛星モデム、VoIP電話、プリンタなど、実に20億以上のデバイスに搭載されている。これらのうち、今回発見されたURGENT/11によって影響を受けるデバイス数も2億以上に及ぶ。アーミス リサーチ担当副社長のBen Seri氏は「VxWorksは最も幅広く利用されているRTOSだ。さまざまな業界の重要デバイスの運用に利用されており、URGENT/11によって特に製造業や医療産業が危険にさらされる可能性がある」と説明する。

　URGENT/11の11個の脆弱性には、攻撃者が認証されていないネットワークパケットを介して標的のデバイスを完全に制御できる6個のリモートコード実行脆弱性（RCE：Remote Code Execution）が含まれている。IPnetスタックを用いるVxWorksを搭載するデバイスは、発見された脆弱性のうち少なくとも1つの影響を受ける。

　企業の内部ネットワークは、モデムやルーター、ファイアウォールなどのデバイスを用いて境界セキュリティ対策を施していることが多い。VxWorksはこれらのネットワーク機器にも広く採用されているため、URGENT/11をそのまま放置すると、攻撃者によるインターネットから内部ネットワークへの直接のアクセスを許しかねない。Armis CEO兼共同創設者のYevgeny Dibrov氏は「URGENT/11を悪用する攻撃者は、伝統的な境界セキュリティ対策を迂回し、工場の制御システムや医療機器を遠隔から操作する可能性がある。そして、管理されていないIoT（モノのインターネット）デバイスに残された脆弱性が、データを操作したり、物理世界にある機器を破壊したり、人々の生活を危険にさらす可能性もある」と強調する。

32年の「VxWorks」の歴史で最も深刻な脆弱性

　なお、高い信頼性とリアルタイム精度で知られるVxWorksの発売から32年の歴史の中で、米国の非営利研究機関であるMITREがVxWroksに影響を及ぼしていると指摘した脆弱性は13の共通脆弱性識別子（CVE：Common Vulnerabilities and Exposures）だけだった。アーミスが発見したURGENT/11は、過去13年間にリリースされた、バージョン6.5以降のVxWorksに用いられているIPnetスタック内の極めて低い階層の脆弱性であり、これまでにVxWorksで見つかった脆弱性で最も深刻なものだ。

　なお、脆弱性の原因となっているIPnetスタックは、ウインドリバーが2006年に買収したInterpeakの技術である。Interpeakが買収される以前には、多数のRTOSベンダーに広くライセンス供与されていた。