安全動(dòng)態(tài)

Wind River修復(fù)了VxWorks實(shí)時(shí)操作系統(tǒng)的11個(gè)重大安全漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-08-01    瀏覽次數(shù):
 

信息來源:cnBeta

平時(shí)人們總能聽到有關(guān) Windows 和 Android 操作系統(tǒng)的漏洞報(bào)告,iOS 和 Linux 則要少一些。不過本文要為大家介紹的,則是 VxWorks 實(shí)時(shí)操作系統(tǒng)(RTOS)曝出的 11 個(gè)嚴(yán)重的零日漏洞。RTOS 被廣泛應(yīng)用于行業(yè)內(nèi)的關(guān)鍵計(jì)算機(jī)系統(tǒng)上,此次曝出的大型安全漏洞,很可能引發(fā)災(zāi)難性的后果。

(題圖 via SlashGear

報(bào)道稱,過去 13 年里,這些設(shè)備已存在不少于 11 個(gè)零日漏洞。遺憾的是,由于 RTOS 設(shè)備屬于電子設(shè)備領(lǐng)域的沉默工作者,媒體并沒有對(duì)其加以廣泛的關(guān)注。

舉個(gè)例子,RTOS 軟件驅(qū)動(dòng)著從調(diào)制解調(diào)器、電梯、乃至核磁共振(MRI)掃描儀等在內(nèi)的各種機(jī)器。而 VxWorks 的客戶名單,涵蓋了 Xerox、NEC、三星、理光等知名企業(yè)。

物聯(lián)網(wǎng)安全研究機(jī)構(gòu) Armis 將這些漏洞統(tǒng)稱為 URGENT / 11,以敦促行業(yè)盡快更新機(jī)器的 RTOS 系統(tǒng)。其中六個(gè)比較嚴(yán)重的漏洞,或賦予攻擊者遠(yuǎn)程代碼執(zhí)行的權(quán)限。

另外五個(gè)漏洞沒有這樣致命,但也可以在沒有用戶交互的情況下,授予攻擊者相應(yīng)的訪問權(quán)限。諷刺的是,它們甚至可以繞過 VxWorks 自帶的防火墻和 NAT 等安全設(shè)備。

盡管 GRGENT / 11 的名字看起來有些平淡,但 Armis 還是希望業(yè)界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式,稱威脅可來自內(nèi)部或外部網(wǎng)絡(luò),另一項(xiàng)甚至威脅到了網(wǎng)絡(luò)本身的安全措施。

Armis 表示,URGENT / 11 對(duì)工業(yè)和醫(yī)療保健行業(yè)造成了最大的風(fēng)險(xiǎn),因其廣泛使用運(yùn)行 VxWorks 的設(shè)備。

好消息是,Wind River 已在 7 月 19 日發(fā)布的補(bǔ)丁中進(jìn)行了修復(fù)。壞消息是,使用 RTOS 的設(shè)備,并不能簡(jiǎn)單地執(zhí)行應(yīng)用軟件更新。

 
 

上一篇:《攜號(hào)轉(zhuǎn)網(wǎng)服務(wù)管理暫行辦法》公開征求意見

下一篇:2019年08月01日 聚銘安全速遞