(題圖 via SlashGear)
報道稱,過去 13 年里�����,這些設(shè)備已存在不少于 11 個零日漏洞�����。遺憾的是�����,由于 RTOS 設(shè)備屬于電子設(shè)備領(lǐng)域的沉默工作者�����,媒體并沒有對其加以廣泛的關(guān)注�����。
舉個例子�����,RTOS 軟件驅(qū)動著從調(diào)制解調(diào)器、電梯�����、乃至核磁共振(MRI)掃描儀等在內(nèi)的各種機器�����。而 VxWorks 的客戶名單�����,涵蓋了 Xerox�����、NEC�����、三星�����、理光等知名企業(yè)�����。
物聯(lián)網(wǎng)安全研究機構(gòu) Armis 將這些漏洞統(tǒng)稱為 URGENT / 11�����,以敦促行業(yè)盡快更新機器的 RTOS 系統(tǒng)�����。其中六個比較嚴(yán)重的漏洞�����,或賦予攻擊者遠(yuǎn)程代碼執(zhí)行的權(quán)限�����。
另外五個漏洞沒有這樣致命�����,但也可以在沒有用戶交互的情況下�����,授予攻擊者相應(yīng)的訪問權(quán)限。諷刺的是�����,它們甚至可以繞過 VxWorks 自帶的防火墻和 NAT 等安全設(shè)備�����。
盡管 GRGENT / 11 的名字看起來有些平淡�����,但 Armis 還是希望業(yè)界能打起 12 分精神�����。研究人員提出了三種潛在的攻擊方式�����,稱威脅可來自內(nèi)部或外部網(wǎng)絡(luò)�����,另一項甚至威脅到了網(wǎng)絡(luò)本身的安全措施�����。
Armis 表示�����,URGENT / 11 對工業(yè)和醫(yī)療保健行業(yè)造成了最大的風(fēng)險�����,因其廣泛使用運行 VxWorks 的設(shè)備�����。
好消息是�����,Wind River 已在 7 月 19 日發(fā)布的補丁中進行了修復(fù)�����。壞消息是�����,使用 RTOS 的設(shè)備,并不能簡單地執(zhí)行應(yīng)用軟件更新�����。
