Como o Urgent /11 pode produzir o caos no melhor estilo Duro de Matar 4.0

Urgent/11. À primeira vista, parece o título de um filme de faroeste barato. No entanto, olhando mais de perto, trata-se de um conjunto de 11 vulnerabilidades (seis de nível crítico e 5 de nível moderado) presentes em diversas versões do VxWorks, um sistema operacional que funciona em tempo real, similar ao Unix e que é desenvolvido e vendido pela norte-americana Wind River Systems e está presente em mais de dois bilhões de dispositivos mundo afora.

Mas, considerando que você nunca ouviu falar desse sistema operacional, logo isso é um problema de segurança bem longe da realidade do usuário final, certo? Errado. Ainda que essas vulnerabilidades não alcancem a versão mais atual do VxWorks, elas atingem as edições mais antigas da plataforma. E isso significa que ela opode atuar em mais de 200 milhões de dispositivos mundo afora.

E quando falamos "dispositivos mundo afora", isso significa que o Urgent/11 pode atacar elevadores, aparelhos de diagnóticos médicos, malhas de transporte, gás e petróleo e muito mais. Ou seja, em vez de um faroeste barato, a coisa está mais para Duro de Matar 4.0, no melhor estilo fire sale (ou "liquidação geral). E sem o John McClane para salvar o dia.

Mas, se você quiser um exemplo mais mundo real, o nível de propagação de ataques do Urgent/11 é algo semelhante ao que foi feito ao ransomwareWannaCry, que se espalhou mundo afora em maio de 2017 e sequestrou dados de uma série de instituições públicas e privadas (incluindo hospitais) e pediu "resgates" para que essas informações fossem liberadas.

Parece que o problema está mais próximo da gente do que o imaginado, não é?

Para saber mais sobre o problema e como combatê-lo, o Canaltech entrevistou Gustavo Mitt, engenheiro de computação formado pelo Instituto Tecnológico de Aeronáutica (ITA) e CEO da Actar, empresa especializada e segurança de informação e que está no setor há 25 anos. Confira como foi o papo:

Canaltech: O Urgent/11 vem sendo tratado como um conjunto de falhas de segurança restrito a setores não sensíveis de empresas e entidades governamentais, já que atinge um sistema operacional pouco conhecido pelo público geral. O problema está sendo subestimado?

Gustavo Mitt: De fato, aparentemente, o problema está sendo tratado de forma mais branda do que deveria. O sistema afetado, o VxWorks, é a base para a construção de outros produtos e muitas vezes as empresas nem sabem que ele está dentro de vários de seus ativos, como controladores de automação industrial, equipamentos médicos, equipamentos de telecomunicações, etc.

Porém, uma grande parte destes dispositivos não está diretamente relacionada com o mercado de TI, que já está condicionado à dinâmica do monitoramento e divulgação dos alertas de segurança. Essa dinâmica se tornou um padrão, em que os fabricantes já têm um protocolo de divulgação das vulnerabilidades encontradas em diversos meios de comunicação.

A Wind River, desenvolvedora do Vx Works, alertou seus clientes sobre o Urgent/11 antes da divulgação pública, mas poucos deles divulgaram os resultados. Dos nomes citados da divulgação da Armis, a Xerox fez updates, publicou no seu site mas não divulgou no padrão CVE (Common Vulnerabilities and Exposures). Já a Rockwell divulgou no seu site em uma área privada e também não emitiu CVEs. Outras empresas de automação, telecomunicações e equipamentos médicos que também usam o VxWorks nem mesmo divulgaram algo em seus sites. Ou seja, é como ocorria na indústria de TI há muitos anos atrás, quando os fabricantes preferiam esconder seus problemas ao invés de tratá-los e divulgá-los

CT.: Os pesquisadores da Armis disseram que o potencial de ataques que o Urgent/11 pode causar é comparável ao WannaCry, que trouxe muita dor de cabeça para o mundo. Essa preocupação faz sentido?

G.M.: Acredito que sim. A dinâmica usada pelos criadores do WannaCry consistiu em redes de robôs buscando vulnerabilidades de forma não direcionada, com sequestro de informações e resgate em criptomoedas, o que é perfeitamente aplicável a vulnerabilidade do VxWorks.

Muitas empresas brasileiras acreditam que não devem se preocupar, pois imaginam que nenhum hacker de fora do país sequer saiba de sua existência, logo, elas estariam fora do radar, por assim dizer. No entanto, assim como o WannaCry, é mais provável que este tipo de ataque se dê de forma automática e indiscriminada.

Contudo, enquanto o WannaCry se baseava no valor das informações sequestradas, o Urgent/11 pode ter um poder de barganha infinitamente maior. Os sistemas de automação industriais dependem de uma sintonia fina entre os vários controladores. A alteração aleatória de alguns parâmetros pode causar explosões de alto-fornos, vazamentos de gases, superaquecimento de reatores, etc.

Desde o Stuxnet, a destruição de centrífugas de urânio no Irã em 2010, passando pelos ataques ao sistema elétrico da Ucrânia, até as recentes acusações mútuas de ataques aos sistemas elétricos da USA e Rússia, ameaças a sistemas de controle já deixaram a ficção científica e fazem parte da realidade. Enquanto o resgate para um sequestro do WannaCry era de US$ 300,00, quanto não poderia ser cobrado para evitar o ataque a uma planta industrial? E, como o WannaCry, os ataques não serão direcionados a alvos específicos. Eles vão buscar vulnerabilidades onde elas estiverem, cobrar resgates de forma automática e a vítima que será responsável por avaliar a extensão do dano potencial, que vai variar desde a parada de um planta industrial até um black-out em um país inteiro.

CT.: Do conjunto de falhas que formam o Urgent/11, seis são de nível crítico. Quais são elas e o que elas podem causar?

G.M.: As falhas críticas exploram campos não usuais dos protocolos IP e TCP, que constituem o fundamento das comunicações da Internet. A mais críticas delas, a CVE-2019-12256, usa duas opções do protocolo IP que não são muito usadas, por motivos de segurança. Estas opções (SSRR e LSRR) permitiriam que o pacote percorresse uma rota diferente do que seria estabelecida pelos roteadores.

Ao preencher este campo de opções a um certo valor, o ator malicioso causa um estouro de pilha no VxWorks, que seria usado para a execução de um código arbitrário no dispositivo atacado. Usando estas técnicas, o hacker consegue obter o controle do equipamento de forma remota. O mais curioso é que como se trata de uma falha na pilha IP, ele não depende que nenhuma aplicação esteja rodando ou alguma configuração tenha sido feita. Qualquer dispositivo VxWorks vulnerável pode ser atacado usando o mesmo vetor.

As demais falhas críticas exploram o campo Urgent Pointer do TCP, que também é muito pouco usado. Sua função é informar o ponto remoto da comunicação de que ele deve parar tudo que está fazendo e enviar os dados da conexão o mais rápido possível. Como ele pode causar a monopolização dos recursos da máquina remota, afetando as demais aplicações, ele acabou não sendo muito usado pela indústria. As vulnerabilidades do Urgent/11 ocorrem quando um certo valor é atribuído ao Urgent Pointer, ou quando ele é combinado com outras opções do TCP. Elas fazem com que o equipamento alvo receba mais bytes que o esperado no cabeçalho TCP, causando corrupção de memória e permitindo que o ator malicioso possa explorar vulnerabilidades nas aplicações que usam a conexão TCP.

Em suma, estas falhas estão no programa e elas permitem que um atacante remoto tenha controle total do sistema em questão.

CT.:Como criminosos virtuais podem explorar as vulnerabilidades do Urgent/11?

G.M.: Eles podem tomar o controle, no caso das vulnerabilidades críticas ou causar negações de serviço (DDoS) no caso das demais. Dentro de sistemas como o VxWorks, uma pequena falha pode causar um impacto tremendo. No caso de um sistema de metrô, por exemplo, um ataque não precisaria de tomar o controle, que seria mais complexo. Basta impedir que o sistema funcione para causar um potencial acidente.

C.T.: Que setores corporativos ou governamentais correm mais riscos com o Urgent/11?

G.M.: Primeiramente, são os setores dependentes dos controladores industriais: Entre eles estão:

- Plantas de manufatura.
- Operadores de energia.
- Malhas de transporte de água, gás, petróleo.
- Sistemas ferroviário e metroviários.

Temos também o setor de saúde, que depende de equipamentos médicos que usam o VXworks, e as operadoras de telefonia, que também fazem uso dele, principalmente em sua estrutura mais antiga.

CT.: Muitos dos dispositivos que podem ser atingidos pelo Urgent/11 são considerados críticos e precisam funcionar continuamente. Como as empresas podem atualizar o VxWorks e também como elas podem saber se a sua versão pode ser afetada pelos ataques?

G.M.: As empresas alegam que a maioria dos dispositivos afetados não está diretamente exposta a internet. Contudo, grande parte dos ataques atuais parte de computadores "zumbis", máquinas já comprometidas no passado e usadas como base para o disparo de novas ofensivas. Em uma grande rede corporativa, é muito provável que já existam, ou vão existir, máquinas internas "zumbis" que seriam usadas para atingir os alvos internos.

Eles também alegam que ainda não existe relatos de exploração do Urgent/11. Enquanto o WannaCry foi baseado em um código vazado da NSA (Agência de Segurança Nacional norte-americana), o Urgent/11 foi divulgado sem detalhes sobre como explorar as vulnerabilidades. Contudo, isso é o mesmo que dormir sobre a linha porque ainda não está escutando o trem chegar.

CT.: A Armis levantou que cerca de 200 milhões de dispotivos que rodam o VxWorks podem ser atingidos pelo Urgent/11. O Brasil está nesse mapa?

G.M.: Sim, os produtos baseados no VxWorks são globais e o Brasil os consome assim como qualquer outro país.

CT.: Caso as empresas não consigam baixar essa atualização do VxWork, como elas podem mitigar os riscos de um ataque envolvendo o Urgent/11?

G.M.: Mesmo que as empresas tenham a atualização do VxWorks, isso não é suficiente. É necessário que os fabricantes que usam o VxWorks também disponibilizem suas atualizações, porque os produtos são feitos para uma versão do sistema operacional e não existe garantia que eles vão continuar funcionando em outra versão.

Além disso, a atualização destes tipos de equipamentos é muito difícil e muitas vezes não será feita. Atualizar os controladores de uma planta industrial envolveria a parada de toda a linha de produção. Muitas indústrias não podem se dar este luxo. Por outro lado, a perda de perímetro que estamos experimentando no mercado de TI não é uma realidade nas plantas industriais. Desde que devidamente segregada, a rede de automação vai ter um conjunto não muito dinâmico de equipamentos e não vai ter dispositivos operados por humanos, o que diminui muito o risco de infecção. Por isso, eu listaria os seguintes itens como meios de contornar o problema:

- Segregação entre rede de automação e rede de TI.
- Inventário de dispositivos, para saber o que proteger.
- Scan de vulnerabilidades para dispositivos industriais, para mapear os riscos.
- Firewall/IPS para controlar o perímetro, com assinaturas específicas para o ambiente de automação.