與安全研究社區合作
風河認為,安全性根植于我們的DNA深處。這是我們近40年來在關鍵任務系統中無盡遺產的組成部分,融匯于我們提供的所有技術之中,幫助我們的客戶開發出可靠且值得信賴的解決方案。我們極致重視安全性,正因為如此,最近在TCP/IP(IPnet))網絡堆棧中發現并被強調為“緊急(Urgent)”的11項漏洞,反而更進一步凸顯了迄今為止最安全的實時操作系統——VxWorks。
這些漏洞是被網絡安全公司Armis發現的。通過互動順暢的“負責任披露(Responsible Disclosure)”模式,風河公司專設的安全事件響應團隊與Armis密切合作,確保客戶能夠獲得通知和所需的補救/補丁。這一共享與協作的流程旨在幫助設備制造商降低其用戶的任何潛在風險。我們感謝Armis在發現這些漏洞的過程中為大家所做的一切。
作為世界上應用最廣泛、最值得信賴的實時操作系統(RTOS)的供應商,以及領先技術企業的一員,我們有責任建立一個縝密的安全響應流程。我們的客戶在許多方面都信賴我們,這便是其中原因之一。
IPnet網絡棧是VxWorks某些版本的組件之一,包括生命周期已經結束(EOL)的6.5版本。具體來說,有些互聯設備采用的是較老標準版本的VxWorks,其中包含的IPnet堆棧受到了一個或多個已發現漏洞的影響。最新版本的VxWorks不會受這些漏洞的影響。
風河公司的安全關鍵產品(如VxWorks 653和VxWorks CERT版本)原本的設計目標就具備通過認證的水平,因此也不會受到任何影響。非常重要的一點是,應該注意到,并不是所有發現的漏洞都存在于每一個產品之中。有關受影響/未受影響版本的完整詳細信息,請參見安全咨詢信息。
這些受影響的設備在我們客戶群中只占一小部分,主要存在于企業設備之中,被部署在網絡周邊面對互聯網的部位,如調制解調器、路由器和打印機,以及一些工業和醫療設備。
在這11個漏洞中,有6個是Remote Code Execution(RCE,遠程代碼執行)漏洞;在這6個漏洞中,有4個可以通過一個簡單的防火墻規則予以緩解。到目前為止,沒有跡象表明這11個漏洞已造成后果。
這些漏洞并不是風河軟件獨有的。2006年,風河通過收購Interpeak獲得了IPnet Stack。在此項收購之前,這個堆棧已經被廣泛授權給許多其他RTOS供應商并由其部署在應用中。
深度防御的重要性
在代碼中找到漏洞是非常困難的,而且有些人會以您沒有預料到的方式對這些代碼發起攻擊。實際上,安全漏洞在未被發現的情況下運行很多年,這并非十分罕見的情況。這樣的實例有很多:Spectre/Meltdown 就曾經存在于數十家制造商生產的數百萬個處理器中,使用了十多年之后才被發現;OpenSSL漏洞,例如HeartBleed也暗藏了很多年。事實上,現代軟件系統非常復雜,功能非常豐富,多年來編寫的大量代碼,不斷提高對安全編程的認識,并不斷提高審查水平。
以下VxWorks內置的安全特性可用于建構一個強大的系統,并且可以對已經發現的IPnet漏洞做出防護:
要定義一套完整的安全策略,就必須對客戶的系統進行全面審核。
《國土安全》有文章*指出,“任何組織機構都不能依靠單一對策來解決全部安全問題。”美國國家安全局下屬的信息保護署(Information Assurance Directorate)也有文章*指出,“不幸的是,將一個SKPP認證的內核作為系統組成部分,并不能立即使系統在整體上具備高度的穩健性。”簡單來說,僅僅依賴單個組件,這是一種失敗的安全策略。
利用風河軟件構建安全系統
雖然沒有任何軟件能夠抵御零時差攻擊(Zero-Day Vulnerabilities),但客戶可以應用風河公司的軟件來構建他們的可信賴系統。我們的產品發布流程極為嚴格,包括回歸/網絡測試、靜態分析和惡意軟件掃描。我們的CVE監控/評估,再加上安全服務產品,可以確保最初部署的就是最堅固的系統,而且在該系統的整個生命周期內提供維護。我們還得到了由Armis等公司組成的強大安全生態系統的支持。
“風河專業服務”提供以下安全相關服務:
·安全評估 - 全面深入地審視客戶的嵌入式系統、操作環境,并確定足以保障系統安全的最佳方法
·嵌入式安全培訓 -為客戶的員工提供有關如何構建安全嵌入式系統的基礎培訓
·FIPS 140-2和通用標準評估 - 使客戶的產品能夠進一步符合政府機構的規范
·安全特性配置檢查
·長期安全服務 - 將安全補丁應用于所支持的產品,直到其生命周期結束,并延伸至這些產品的遺留版本
·信息保障基礎 - 進一步支持基于硬件的安全功能(例如SEC引擎、TPM等)以便為客戶創建定制的解決方案
我們的解決方案與服務可滿足安全硬件和軟件的全部需求,足以保障設備之間以及跨系統的通信,為它們提供長期的防護,以及快速的反應,使它們免于收到隨時出現的新威脅。而且,我們的開發流程和安全功能可以滿足許多行業的嚴格要求。
關于IPnet漏洞的更多詳細信息,包括安全咨詢和補丁信息,請參見 Wind River Security Alert ,呈現于 Wind River Security Center. 您也可通過 Wind River Support 提出您的任何問題。
一如既往,風河隨時準備幫助我們的客戶,確保其設備和系統的安全。
*推薦的實例:以深度防御戰略改善工業控制系統網絡安全,2016年9月
*商業化工作站上的分離內核,2010年3月
