面向VxWorks系統的嵌入式安全研究

任秋潔 韓英

摘要：VxWorks嵌入式操作系統作為最具代表性的實時操作系統之一，被廣泛應用于多個領域，其安全性問題一直是人們關注的重點之一。通過對VxWorks系統的安全現狀和已知漏洞進行分析，梳理其典型脆弱環節，從而明確VxWorks系統安全的研究方向，為后續安全研究提供參考。

關鍵詞：VxWorks;嵌入式系統;安全漏洞

中圖分類號：TP316.2 文獻標識碼：A

文章編號：1009-3044（2020）22-0026-02

開放科學（資源服務）標識碼（OSID）：

1 引言

隨著信息化技術的全面發展和物聯網技術的快速普及應用，嵌入式系統及產品的應用遍及金融、醫療、軍事、航天、網絡、工業控制、智能家居等各個領域，嵌入式安全不僅僅與個人隱私密切相關，甚至關乎重大經濟或軍事利益，這對嵌入式系統的安全性能提出了更高的要求。VxWorks系統作為一種典型的高可靠性嵌入式實時操作系統，被大量地應用于航空、航天、醫療、軍事等領域，本文希望通過對其安全現狀和已知漏洞進行分析，發現其脆弱環節，理清VxWorks系統安全研究方向，為后續安全研究提供參考。

2 VxWorks系統及其安全現狀

2.1 VxWorks系統

VxWorks系統是一款由風河（Wind River）公司開發的實時嵌入式操作系統。因為其可靠性高、實時性好而被廣泛地應用于航空、航天、通信、醫療、工業等領域。其代表性的客戶包括：波音、空客、NASA、三星、西門子、華為、思科等，據不完全統計，目前全球可能有超過1.5億臺設備在使用VxWorks系統。

VxWorks系統基于wind內核，包括了文件系統、進程管理、存儲管理、設備管理、網絡協議以及系統應用等功能模塊[1]。BSP板級支持包（Board Support Package）是VxWorks系統非常獨特的部分，它將wind內核與硬件相連，為上層軟件應用提供了很好的支持。由于wind內核非常小，并且VxWorks支持高度裁減，所以在保持高效實時的同時，具有了強大的可移植能力，目前VxWorks幾乎支持所有的嵌入式硬件架構，包括x86、MIPS、PowerPC、ARM、Freescale ColdFire、SPARC、Intel i960以及xScale CPU等。

2.2 VxWorks安全事件

VxWorks系統是世界范圍內被廣泛認可的高安全性操作系統，但再安全的軟件也會存在安全漏洞。在2010年的Black Hat黑客大會上，世界著名的安全專家、Metasploit的首席架構師HD Moore，演示了利用VxWorks DEBUG漏洞的全過程，該漏洞涉及的VxWorks版本從5.5到6.8。

2015年初，加拿大的研究人員Yannick Formaggio公布了兩個VxWorks系統安全漏洞。其中一個高危漏洞是緩沖區溢出類漏洞，如果攻擊者以極高速度向VxWorks系統發送用戶名和密碼的時候，內置在系統內部的FTP服務器會產生環形緩沖區溢出，導致系統崩潰[2]。

在2019年的Black Hat黑客大會上，來自IOActive的研究人員公開了波音787客機的CIS/MS（ Crew Information Service/Maintenance System）組件多個漏洞。CIS/MS組件采用了Vx-Works系統，位于飛機的兩路通訊總線的邊界上，該組件存在漏洞的二進制文件未開啟NX、調用棧保護等防護措施，導致攻擊者通過一個常見的內存漏洞就能夠劫持程序執行，而攻擊者可以通過遠程、物理等多種方式實現成功入侵。之后，攻擊者可以利用這些漏洞對波音客機的機身網絡總線進行滲透，向機身的關鍵系統（如引擎、剎車、傳感器等）發送惡意指令，造成安全威脅。研究人員還公開了四個可供利用的漏洞，并將其組成了攻擊鏈，以TFTP服務棧溢出獲得執行權限，繼而通過VxWorks的內核漏洞提權，獲得飛機內部網絡的控制權[3]。

3 VxWorks典型漏洞分析

已公布的VxWorks的漏洞包括權限許可與信任漏洞、數字錯誤漏洞、輸入驗證漏洞、緩沖區溢出漏洞、加密算法脆弱性以及多種拒絕服務漏洞等。在CNNVD（國家信息安全漏洞庫）中最新的檢索情況顯示VxWorks系統已知漏洞有25條，分布情況如圖1所示。下面我們通過若干典型的高危漏洞，分析Vx-Works系統的脆弱性。

3.1典型漏洞分析

3.1.1 WDB RPC漏洞（CNNVD-201008-029，CVE-2010-2965）

WDB RPC漏洞是VxWorks系統最具代表性的一個漏洞，多次在安全會議上被用來做示例。運行在UDP協議之上并且綁定17185端口的WDB RPC是VxWorks系統的目標代理調試接口，通過該接口不但可以直接訪問系統的內存，還能監視系統組件的工作狀態[4]。由于該服務中存在權限許可和訪問控制漏洞，遠程攻擊者可以借助向UDP 17185端口發送的請求讀取或修改任意存儲單元，執行函數調用，或者管理任務。此漏洞一旦被成功利用，相當于VxWorks系統完全向攻擊者敞開，危害巨大，涉及的版本從5.5到6.8。該漏洞還直接影響了基于這些版本VxWorks操作系統開發的產品，例如羅克韋爾的1756-ENBT系列控制產品。

3.1.2 FTP后臺程序漏洞（CNNVD-201008-032，CVE-2010-2968）

FTP后臺程序漏洞屬于權限許可和訪問控制類型漏洞。基于Wind River VxWorks 5.x- 6.4的FTP后臺程序在一系列的登錄失敗嘗試后不會關閉TCP連接，這使得遠程登錄者通過蠻力攻擊更容易得到使用權。

3.1.3緩沖區溢出漏洞

能夠引起緩沖區溢出已知漏洞高達6個，以CNNVD-201907-1499（CVE-2019-12256）為例，VxWorks 7版本和6.9版本中對IPv4數據包IP選項的解析存在緩沖區錯誤漏洞。通過該漏洞，攻擊者可利用精心構造的附帶無效選項的IPv4數據包造成tNet0任務崩潰，并可能執行代碼。

3.1.4拒絕服務攻擊漏洞

能夠造成拒絕服務攻擊的VxWorks安全漏洞同樣超過6個，一些漏洞庫中的其他類型漏洞，往往也可以拒絕服務。以CNNVD-201303-408（CVE-2013-0714）為例，該漏洞存在于VxWorks 6.5至6.9版本中，通過公鑰認證請求，遠程攻擊者利用該漏洞可以執行任意代碼或導致拒絕服務（守護進程掛起）。

3.2 漏洞分析結論

由此可見，安全性再高的系統也會有潛在的漏洞問題，當前，VxWorks操作系統面臨的最主要的安全威脅主要來自拒絕服務攻擊、緩沖區溢出、訪問控制錯誤與安全繞過等。造成這些漏洞的原因包括一是早期版本在安全設計方面考慮不夠，二是為滿足高效率高實時性小體量而做出了權衡讓步，三是在VxWorks的配置使用中存在安全風險，四是風河公司對早期版本的系統已經不再進行安全更新。而在一些高安全敏感領域，VxWorks操作系統的應用是如此的廣泛，那么如何應對當下威脅較大的高危漏洞問題，就顯得格外重要。

4 VxWorks系統安全研究

當前，圍繞VxWorks系統的安全問題，業界主要在三個方向開展研究。一是VxWorks系統自身安全強化技術研究，主要是以風河公司為主力的國際大公司針對VxWorks系統不斷涌現的安全需求和特定行業應用，增加安全模塊，提升自身安全水平。通過與McAfee等安全廠商建立合作關系，VxWorks在6.x版本中引進了一些內存保護機制，在7.x版本中則進一步提升了多個方面的安全能力，包括數字簽名模塊、加密模塊、數據庫模塊、密碼管理等等。二是VxWorks系統應用安全技術研究，包括安全傳輸協議、訪問控制機制、文件系統的數據保護，如文獻[1]和[5]中分別提出了針對SSH協議的改進方法來應對中間人攻擊，文獻[2]提出了一套安全防護機制來解決緩沖區溢出問題，文獻[6]設計了一個基于FTP的應用層安全協議來提升數據傳輸的安全性，文獻[7]提出一種文件系統層訪問控制方法來提升塊設備數據安全。三是面向VxWorks的安全測試技術研究，包括針對VxWorks系統的漏洞挖掘技術、滲透測試技術、嵌入式產品自動化測試技術等。

5 總結

本文通過對VxWorks的安全現狀和已知漏洞進行分析，發現其可能存在的脆弱環節，梳理了圍繞VxWorks系統安全的研究方向。隨著越來越多的安全技術和防御手段應用到嵌入式產品開發中，VxWorks系統會越做越好，但同時漏洞仍會發現。我們當前研究基于VxWorks系統的各種安全加固技術，也僅是權宜之計，加速推進國產自主產品的研發和替代丁作，強化測試、使用、提升的迭代閉環，才能從根本上解決安全可靠的問題。

參考文獻：

[1]李延松，基于VxWorks的應用層SSH安全協議研究與改進[D].南京：南京航空航天大學，2013.

[2]孫潤春.基于VxWorks6.8操作系統的關鍵安全防護技術的研究[D].北京：北京郵電大學，2017.

[3] Blackhat 2019： Arm IDA and Cross Check： Reversing the Boe-ing 787's Core Network[EB/OL]. https：//www.blackhat.com/us-1 9/briefings/schedule/#arm-ida-and-cross-check-reversing-the-boeing-78739s-core-network-157 16.

[4] VxWorks WDB漏洞檢測指導[EB/OL].https：//www.docin. com/p-484297694.html.

[5] Tang Xuehai， Sun Bing， Li Ruilin，et al.A meet-in-the-mid-dle attack on reduced-round ARIA[J].Journal of Systems andSoftware，2011，84（10）：1685-1692.

[6]田戰玲，劉利強.基于VxWorks網絡文件傳輸安全性的研究[J].信息技術與信息化，201 1，54（4）：32 -35.

[7]高斌，翟江濤，薛朋駿.一種VxWorks文件系統層訪問控制方法[J].江蘇科技大學學報：白然科學版，2015，29（5）：462-466.

【通聯編輯：代影】

基金項目：洛陽理工學院青年基金項目（2017Q205）

作者簡介：任秋潔（1989-），女，河南洛陽人，講師，碩士，主要研究方向為通信系統與網絡安全;韓英（1964-），女，河南洛陽人，副教授，碩士，主要研究方向為自動化控制。