面向VxWorks系統(tǒng)的嵌入式安全研究

任秋潔 韓英

摘要：VxWorks嵌入式操作系統(tǒng)作為最具代表性的實時操作系統(tǒng)之一，被廣泛應(yīng)用于多個領(lǐng)域，其安全性問題一直是人們關(guān)注的重點(diǎn)之一。通過對VxWorks系統(tǒng)的安全現(xiàn)狀和已知漏洞進(jìn)行分析，梳理其典型脆弱環(huán)節(jié)，從而明確VxWorks系統(tǒng)安全的研究方向，為后續(xù)安全研究提供參考。

關(guān)鍵詞：VxWorks;嵌入式系統(tǒng);安全漏洞

中圖分類號：TP316.2 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）22-0026-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

1 引言

隨著信息化技術(shù)的全面發(fā)展和物聯(lián)網(wǎng)技術(shù)的快速普及應(yīng)用，嵌入式系統(tǒng)及產(chǎn)品的應(yīng)用遍及金融、醫(yī)療、軍事、航天、網(wǎng)絡(luò)、工業(yè)控制、智能家居等各個領(lǐng)域，嵌入式安全不僅僅與個人隱私密切相關(guān)，甚至關(guān)乎重大經(jīng)濟(jì)或軍事利益，這對嵌入式系統(tǒng)的安全性能提出了更高的要求。VxWorks系統(tǒng)作為一種典型的高可靠性嵌入式實時操作系統(tǒng)，被大量地應(yīng)用于航空、航天、醫(yī)療、軍事等領(lǐng)域，本文希望通過對其安全現(xiàn)狀和已知漏洞進(jìn)行分析，發(fā)現(xiàn)其脆弱環(huán)節(jié)，理清VxWorks系統(tǒng)安全研究方向，為后續(xù)安全研究提供參考。

2 VxWorks系統(tǒng)及其安全現(xiàn)狀

2.1 VxWorks系統(tǒng)

VxWorks系統(tǒng)是一款由風(fēng)河（Wind River）公司開發(fā)的實時嵌入式操作系統(tǒng)。因為其可靠性高、實時性好而被廣泛地應(yīng)用于航空、航天、通信、醫(yī)療、工業(yè)等領(lǐng)域。其代表性的客戶包括：波音、空客、NASA、三星、西門子、華為、思科等，據(jù)不完全統(tǒng)計，目前全球可能有超過1.5億臺設(shè)備在使用VxWorks系統(tǒng)。

VxWorks系統(tǒng)基于wind內(nèi)核，包括了文件系統(tǒng)、進(jìn)程管理、存儲管理、設(shè)備管理、網(wǎng)絡(luò)協(xié)議以及系統(tǒng)應(yīng)用等功能模塊[1]。BSP板級支持包（Board Support Package）是VxWorks系統(tǒng)非常獨(dú)特的部分，它將wind內(nèi)核與硬件相連，為上層軟件應(yīng)用提供了很好的支持。由于wind內(nèi)核非常小，并且VxWorks支持高度裁減，所以在保持高效實時的同時，具有了強(qiáng)大的可移植能力，目前VxWorks幾乎支持所有的嵌入式硬件架構(gòu)，包括x86、MIPS、PowerPC、ARM、Freescale ColdFire、SPARC、Intel i960以及xScale CPU等。

2.2 VxWorks安全事件

VxWorks系統(tǒng)是世界范圍內(nèi)被廣泛認(rèn)可的高安全性操作系統(tǒng)，但再安全的軟件也會存在安全漏洞。在2010年的Black Hat黑客大會上，世界著名的安全專家、Metasploit的首席架構(gòu)師HD Moore，演示了利用VxWorks DEBUG漏洞的全過程，該漏洞涉及的VxWorks版本從5.5到6.8。

2015年初，加拿大的研究人員Yannick Formaggio公布了兩個VxWorks系統(tǒng)安全漏洞。其中一個高危漏洞是緩沖區(qū)溢出類漏洞，如果攻擊者以極高速度向VxWorks系統(tǒng)發(fā)送用戶名和密碼的時候，內(nèi)置在系統(tǒng)內(nèi)部的FTP服務(wù)器會產(chǎn)生環(huán)形緩沖區(qū)溢出，導(dǎo)致系統(tǒng)崩潰[2]。

在2019年的Black Hat黑客大會上，來自IOActive的研究人員公開了波音787客機(jī)的CIS/MS（ Crew Information Service/Maintenance System）組件多個漏洞。CIS/MS組件采用了Vx-Works系統(tǒng)，位于飛機(jī)的兩路通訊總線的邊界上，該組件存在漏洞的二進(jìn)制文件未開啟NX、調(diào)用棧保護(hù)等防護(hù)措施，導(dǎo)致攻擊者通過一個常見的內(nèi)存漏洞就能夠劫持程序執(zhí)行，而攻擊者可以通過遠(yuǎn)程、物理等多種方式實現(xiàn)成功入侵。之后，攻擊者可以利用這些漏洞對波音客機(jī)的機(jī)身網(wǎng)絡(luò)總線進(jìn)行滲透，向機(jī)身的關(guān)鍵系統(tǒng)（如引擎、剎車、傳感器等）發(fā)送惡意指令，造成安全威脅。研究人員還公開了四個可供利用的漏洞，并將其組成了攻擊鏈，以TFTP服務(wù)棧溢出獲得執(zhí)行權(quán)限，繼而通過VxWorks的內(nèi)核漏洞提權(quán)，獲得飛機(jī)內(nèi)部網(wǎng)絡(luò)的控制權(quán)[3]。

3 VxWorks典型漏洞分析

已公布的VxWorks的漏洞包括權(quán)限許可與信任漏洞、數(shù)字錯誤漏洞、輸入驗證漏洞、緩沖區(qū)溢出漏洞、加密算法脆弱性以及多種拒絕服務(wù)漏洞等。在CNNVD（國家信息安全漏洞庫）中最新的檢索情況顯示VxWorks系統(tǒng)已知漏洞有25條，分布情況如圖1所示。下面我們通過若干典型的高危漏洞，分析Vx-Works系統(tǒng)的脆弱性。

3.1典型漏洞分析

3.1.1 WDB RPC漏洞（CNNVD-201008-029，CVE-2010-2965）

WDB RPC漏洞是VxWorks系統(tǒng)最具代表性的一個漏洞，多次在安全會議上被用來做示例。運(yùn)行在UDP協(xié)議之上并且綁定17185端口的WDB RPC是VxWorks系統(tǒng)的目標(biāo)代理調(diào)試接口，通過該接口不但可以直接訪問系統(tǒng)的內(nèi)存，還能監(jiān)視系統(tǒng)組件的工作狀態(tài)[4]。由于該服務(wù)中存在權(quán)限許可和訪問控制漏洞，遠(yuǎn)程攻擊者可以借助向UDP 17185端口發(fā)送的請求讀取或修改任意存儲單元，執(zhí)行函數(shù)調(diào)用，或者管理任務(wù)。此漏洞一旦被成功利用，相當(dāng)于VxWorks系統(tǒng)完全向攻擊者敞開，危害巨大，涉及的版本從5.5到6.8。該漏洞還直接影響了基于這些版本VxWorks操作系統(tǒng)開發(fā)的產(chǎn)品，例如羅克韋爾的1756-ENBT系列控制產(chǎn)品。

3.1.2 FTP后臺程序漏洞（CNNVD-201008-032，CVE-2010-2968）

FTP后臺程序漏洞屬于權(quán)限許可和訪問控制類型漏洞?；赪ind River VxWorks 5.x- 6.4的FTP后臺程序在一系列的登錄失敗嘗試后不會關(guān)閉TCP連接，這使得遠(yuǎn)程登錄者通過蠻力攻擊更容易得到使用權(quán)。

3.1.3緩沖區(qū)溢出漏洞

能夠引起緩沖區(qū)溢出已知漏洞高達(dá)6個，以CNNVD-201907-1499（CVE-2019-12256）為例，VxWorks 7版本和6.9版本中對IPv4數(shù)據(jù)包IP選項的解析存在緩沖區(qū)錯誤漏洞。通過該漏洞，攻擊者可利用精心構(gòu)造的附帶無效選項的IPv4數(shù)據(jù)包造成tNet0任務(wù)崩潰，并可能執(zhí)行代碼。

3.1.4拒絕服務(wù)攻擊漏洞

能夠造成拒絕服務(wù)攻擊的VxWorks安全漏洞同樣超過6個，一些漏洞庫中的其他類型漏洞，往往也可以拒絕服務(wù)。以CNNVD-201303-408（CVE-2013-0714）為例，該漏洞存在于VxWorks 6.5至6.9版本中，通過公鑰認(rèn)證請求，遠(yuǎn)程攻擊者利用該漏洞可以執(zhí)行任意代碼或?qū)е戮芙^服務(wù)（守護(hù)進(jìn)程掛起）。

3.2 漏洞分析結(jié)論

由此可見，安全性再高的系統(tǒng)也會有潛在的漏洞問題，當(dāng)前，VxWorks操作系統(tǒng)面臨的最主要的安全威脅主要來自拒絕服務(wù)攻擊、緩沖區(qū)溢出、訪問控制錯誤與安全繞過等。造成這些漏洞的原因包括一是早期版本在安全設(shè)計方面考慮不夠，二是為滿足高效率高實時性小體量而做出了權(quán)衡讓步，三是在VxWorks的配置使用中存在安全風(fēng)險，四是風(fēng)河公司對早期版本的系統(tǒng)已經(jīng)不再進(jìn)行安全更新。而在一些高安全敏感領(lǐng)域，VxWorks操作系統(tǒng)的應(yīng)用是如此的廣泛，那么如何應(yīng)對當(dāng)下威脅較大的高危漏洞問題，就顯得格外重要。

4 VxWorks系統(tǒng)安全研究

當(dāng)前，圍繞VxWorks系統(tǒng)的安全問題，業(yè)界主要在三個方向開展研究。一是VxWorks系統(tǒng)自身安全強(qiáng)化技術(shù)研究，主要是以風(fēng)河公司為主力的國際大公司針對VxWorks系統(tǒng)不斷涌現(xiàn)的安全需求和特定行業(yè)應(yīng)用，增加安全模塊，提升自身安全水平。通過與McAfee等安全廠商建立合作關(guān)系，VxWorks在6.x版本中引進(jìn)了一些內(nèi)存保護(hù)機(jī)制，在7.x版本中則進(jìn)一步提升了多個方面的安全能力，包括數(shù)字簽名模塊、加密模塊、數(shù)據(jù)庫模塊、密碼管理等等。二是VxWorks系統(tǒng)應(yīng)用安全技術(shù)研究，包括安全傳輸協(xié)議、訪問控制機(jī)制、文件系統(tǒng)的數(shù)據(jù)保護(hù)，如文獻(xiàn)[1]和[5]中分別提出了針對SSH協(xié)議的改進(jìn)方法來應(yīng)對中間人攻擊，文獻(xiàn)[2]提出了一套安全防護(hù)機(jī)制來解決緩沖區(qū)溢出問題，文獻(xiàn)[6]設(shè)計了一個基于FTP的應(yīng)用層安全協(xié)議來提升數(shù)據(jù)傳輸?shù)陌踩?，文獻(xiàn)[7]提出一種文件系統(tǒng)層訪問控制方法來提升塊設(shè)備數(shù)據(jù)安全。三是面向VxWorks的安全測試技術(shù)研究，包括針對VxWorks系統(tǒng)的漏洞挖掘技術(shù)、滲透測試技術(shù)、嵌入式產(chǎn)品自動化測試技術(shù)等。

5 總結(jié)

本文通過對VxWorks的安全現(xiàn)狀和已知漏洞進(jìn)行分析，發(fā)現(xiàn)其可能存在的脆弱環(huán)節(jié)，梳理了圍繞VxWorks系統(tǒng)安全的研究方向。隨著越來越多的安全技術(shù)和防御手段應(yīng)用到嵌入式產(chǎn)品開發(fā)中，VxWorks系統(tǒng)會越做越好，但同時漏洞仍會發(fā)現(xiàn)。我們當(dāng)前研究基于VxWorks系統(tǒng)的各種安全加固技術(shù)，也僅是權(quán)宜之計，加速推進(jìn)國產(chǎn)自主產(chǎn)品的研發(fā)和替代丁作，強(qiáng)化測試、使用、提升的迭代閉環(huán)，才能從根本上解決安全可靠的問題。

參考文獻(xiàn)：

[1]李延松，基于VxWorks的應(yīng)用層SSH安全協(xié)議研究與改進(jìn)[D].南京：南京航空航天大學(xué)，2013.

[2]孫潤春.基于VxWorks6.8操作系統(tǒng)的關(guān)鍵安全防護(hù)技術(shù)的研究[D].北京：北京郵電大學(xué)，2017.

[3] Blackhat 2019： Arm IDA and Cross Check： Reversing the Boe-ing 787's Core Network[EB/OL]. https：//www.blackhat.com/us-1 9/briefings/schedule/#arm-ida-and-cross-check-reversing-the-boeing-78739s-core-network-157 16.

[4] VxWorks WDB漏洞檢測指導(dǎo)[EB/OL].https：//www.docin. com/p-484297694.html.

[5] Tang Xuehai， Sun Bing， Li Ruilin，et al.A meet-in-the-mid-dle attack on reduced-round ARIA[J].Journal of Systems andSoftware，2011，84（10）：1685-1692.

[6]田戰(zhàn)玲，劉利強(qiáng).基于VxWorks網(wǎng)絡(luò)文件傳輸安全性的研究[J].信息技術(shù)與信息化，201 1，54（4）：32 -35.

[7]高斌，翟江濤，薛朋駿.一種VxWorks文件系統(tǒng)層訪問控制方法[J].江蘇科技大學(xué)學(xué)報：白然科學(xué)版，2015，29（5）：462-466.

【通聯(lián)編輯：代影】

基金項目：洛陽理工學(xué)院青年基金項目（2017Q205）

作者簡介：任秋潔（1989-），女，河南洛陽人，講師，碩士，主要研究方向為通信系統(tǒng)與網(wǎng)絡(luò)安全;韓英（1964-），女，河南洛陽人，副教授，碩士，主要研究方向為自動化控制。