Wind River修復了VxWorks實時作業系統的11個重大安全漏洞

Editor發表於2019-08-02


平時人們總能聽到有關 Windows 和 Android 作業系統的漏洞報告,iOS 和 Linux 則要少一些。不過本文要為大家介紹的,則是 VxWorks 實時作業系統(RTOS)曝出的 11 個嚴重的零日漏洞。RTOS 被廣泛應用於行業內的關鍵計算機系統上,此次曝出的大型安全漏洞,很可能引發災難性的後果。


Wind River修復了VxWorks實時作業系統的11個重大安全漏洞

(題圖 via SlashGear)


報導稱,過去 13 年裡,這些裝置已存在不少於 11 個零日漏洞。遺憾的是,由於 RTOS 裝置屬於電子裝置領域的沉默工作者,媒體並沒有對其加以廣泛的關注。

舉個例子,RTOS 軟體驅動著從調變解調器、電梯、乃至核磁共振(MRI)掃描器等在內的各種機器。而 VxWorks 的客戶名單,涵蓋了 Xerox、NEC、三星、理光等知名企業。


物聯網安全研究機構 Armis 將這些漏洞統稱為 URGENT / 11,以敦促行業儘快更新機器的 RTOS 系統。其中六個比較嚴重的漏洞,或賦予攻擊者遠端程式碼執行的許可權。


另外五個漏洞沒有這樣致命,但也可以在沒有使用者互動的情況下,授予攻擊者相應的訪問許可權。諷刺的是,它們甚至可以繞過 VxWorks 自帶的防火牆和 NAT 等安全裝置。


儘管 GRGENT / 11 的名字看起來有些平淡,但 Armis 還是希望業界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式,稱威脅可來自內部或外部網路,另一項甚至威脅到了網路本身的安全措施。


Armis 表示,URGENT / 11 對工業和醫療保健行業造成了最大的風險,因其廣泛使用執行 VxWorks 的裝置。


好訊息是,Wind River 已在 7 月 19 日釋出的補丁中進行了修復。壞訊息是,使用 RTOS 的裝置,並不能簡單地執行應用軟體更新。


來源:cnBeta.COM

相關文章