2019年7月30日，国家信息平安漏洞共享平台收录了VxWorks多个高危远程漏洞，声明该产品存在远程代码执行漏洞、拒绝服务漏洞、逻辑缺陷漏洞及信息泄露漏洞。CNCERT下属的关键信息基础设施平安应急响应中心（http://www.ics-cert.org.cn）针对漏洞情况进行了分析，并对国内相关联网资产进行了在线监测，具体情况通报如下：

一、漏洞情况分析

VxWorks是世界上使用最广泛的实时操作系统（RTOS），有超过20亿台设备正在使用，包含工业、电力、能源，航空航天等行业关键基础设施。

平安研究人员发现，在VxWorks操作系统中存在11个远程漏洞，其中6个为远程代码执行漏洞，其余5个为拒绝服务漏洞、信息泄露或逻辑缺陷漏洞。漏洞形成原因如下表所示：

攻击者可利用以上漏洞对系统进行非法命令执行、使该系统停止提供服务、使路由表发生错误、远程获取系统信息等操作。

二、漏洞影响范围

该产品漏洞的综合评级均为“高危”。

根据生产厂商以及漏洞研究者的测试结果，漏洞影响的设备分别为：

• VxWorks6.5-VxWorks6.9.4VxWorks7-pre-SR620

截止当前，中心通过监测手段发现了若干表露在互联网上的相关设备，详细信息见附录一、二。

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/

此外，建议相关用户应采取的其他平安防护措施如下：

（1）最大限度地减少所有控制系统设备和/或系统的网络表露，并确保无法从Internet访问。

（2）定位防火墙防护的控制系统网络和远程设备，并将其与业务网络隔离。

（3）当需要远程访问时，请使用平安方法如虚拟专用网络（VPN），要认识到VPN可能存在的漏洞，需将VPN更新到最新版本。

关键信息基础设施平安应急响应中心将持续跟踪漏洞处置情况，如需技术支持，请及时与我们联系。

联系电话：010-82992157

邮箱：ics-cert@cert.org.cn

网站：http://www.ics-cert.org.cn

微信公众号：关键信息基础设施平安应急响应中心

相关平安公告链接参考如下：

https://www.us-cert.gov/ics/advisories/icsa-19-211-01

附录一国内表露在互联网的该漏洞相关网络资产信息

附录二国内表露在互联网的该漏洞相关网络资产分布图

注：本文转载自微信公众号媒体平台；文内观点仅供参考。​​​​

埃文科技——IP定位技术领域专家，最全面、最精准的网络空间地图服务提供商。

公司成立于2012年，专注于网络空间、地理空间和社会空间的相互映射，绘制三位一体的网络空间地图，对网络空间资源的静态属性和动态变化情况进行探测。拥有27项软件著作权及13项发明专利。