VX-WORKS octobre 2020

VX-WORKS octobre 2020 jpp

Octobre 2020 : voir quelques chiffres. 
Très nombreux hits détectés par Suricata avec le message : 
"ET EXPLOIT Possible VXWORKS Urgent11 RCE Attempt - Urgent Flag" 
Sur les quatre dernières semaines cela représente un peu plus de 11000 hits sur mon adresse. 
Ces attaques concernent principalement les port : 80,443,465 et 8080, parfois un peu de 3478.

La détection est assurée par les règles standard, et à jour, de Suricata.

Petite précision : pour ces attaques le "payload" est absent (longueur=0), toute l'astuce tient dans les flags TCP.  
Ces attaques visent la pile TCP de l'OS VXWORKS et d'autres qui sont utilisés par de très nombreux "devices" de par le monde, j'ai vu des articles citant des chiffres énormes de centaines de millions d'appareils de par le monde. 
Des correctifs existent pour les versions récentes mais il existe, probablement, de très nombreux appareils utilisant des versions obsolètes et/ou qui ne sont plus "patchables". Parmi ces systèmes "à risque" on trouve des matériels de commande industrielle aussi bien que des appareils à usage médical, heureusement peu de ces appareils sont, en principe, reliés à Internet, mais avec la manie de tout connecter il est bien possible qu'un nombre certain soit plus ou moins accessible.

26 Janvier 2021 : 
Cette attaque dure déjà depuis plus de 3 mois, du jamais vu. 
Aujourd'hui un record des attaques "VXWORKS", 2093 "hits" entre 00:00 et 23:59, un gars a même insisté avec 831 hits ... Je n'avais encore jamais vu ça. Au fait il faut mettre à jour ma petite statistique accessible ci-dessous.

5 février 2021 : 
Cette attaque a cessé aussi vite qu'elle avait commencé en moins de 24 heures (dernier jour le 29 janvier 2021) le nombre de hits est tombé complètement, le petit tableau ci-dessous résume la chute brutale du nombre de hits :

Date Nombre de Hits
2021/01/24 1720
2021/01/25 929
2021/01/26 2093
2021/01/27 848
2021/01/28 675
2021/01/29 3