(題圖 via SlashGear)
報(bào)道稱,過去 13 年里,這些設(shè)備已存在不少于 11 個(gè)零日漏洞。遺憾的是,由于 RTOS 設(shè)備屬于電子設(shè)備領(lǐng)域的沉默工作者,媒體并沒有對(duì)其加以廣泛的關(guān)注。
舉個(gè)例子,RTOS 軟件驅(qū)動(dòng)著從調(diào)制解調(diào)器、電梯、乃至核磁共振(MRI)掃描儀等在內(nèi)的各種機(jī)器。而 VxWorks 的客戶名單,涵蓋了 Xerox、NEC、三星、理光等知名企業(yè)。
物聯(lián)網(wǎng)安全研究機(jī)構(gòu) Armis 將這些漏洞統(tǒng)稱為 URGENT / 11,以敦促行業(yè)盡快更新機(jī)器的 RTOS 系統(tǒng)。其中六個(gè)比較嚴(yán)重的漏洞,或賦予攻擊者遠(yuǎn)程代碼執(zhí)行的權(quán)限。
另外五個(gè)漏洞沒有這樣致命,但也可以在沒有用戶交互的情況下,授予攻擊者相應(yīng)的訪問權(quán)限。諷刺的是,它們甚至可以繞過 VxWorks 自帶的防火墻和 NAT 等安全設(shè)備。
盡管 GRGENT / 11 的名字看起來有些平淡,但 Armis 還是希望業(yè)界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式,稱威脅可來自內(nèi)部或外部網(wǎng)絡(luò),另一項(xiàng)甚至威脅到了網(wǎng)絡(luò)本身的安全措施。
Armis 表示,URGENT / 11 對(duì)工業(yè)和醫(yī)療保健行業(yè)造成了最大的風(fēng)險(xiǎn),因其廣泛使用運(yùn)行 VxWorks 的設(shè)備。
好消息是,Wind River 已在 7 月 19 日發(fā)布的補(bǔ)丁中進(jìn)行了修復(fù)。壞消息是,使用 RTOS 的設(shè)備,并不能簡(jiǎn)單地執(zhí)行應(yīng)用軟件更新。