(題圖 via SlashGear)
報(bào)道稱,過(guò)去 13 年里�����,這些設(shè)備已存在不少于 11 個(gè)零日漏洞�。遺憾的是,由于 RTOS 設(shè)備屬于電子設(shè)備領(lǐng)域的沉默工作者���,媒體并沒(méi)有對(duì)其加以廣泛的關(guān)注���。
舉個(gè)例子,RTOS 軟件驅(qū)動(dòng)著從調(diào)制解調(diào)器�����、電梯�����、乃至核磁共振(MRI)掃描儀等在內(nèi)的各種機(jī)器�。而 VxWorks 的客戶名單���,涵蓋了 Xerox、NEC����、三星、理光等知名企業(yè)�����。
物聯(lián)網(wǎng)安全研究機(jī)構(gòu) Armis 將這些漏洞統(tǒng)稱為 URGENT / 11���,以敦促行業(yè)盡快更新機(jī)器的 RTOS 系統(tǒng)。其中六個(gè)比較嚴(yán)重的漏洞����,或賦予攻擊者遠(yuǎn)程代碼執(zhí)行的權(quán)限。
另外五個(gè)漏洞沒(méi)有這樣致命���,但也可以在沒(méi)有用戶交互的情況下����,授予攻擊者相應(yīng)的訪問(wèn)權(quán)限����。諷刺的是�����,它們甚至可以繞過(guò) VxWorks 自帶的防火墻和 NAT 等安全設(shè)備�����。
盡管 GRGENT / 11 的名字看起來(lái)有些平淡���,但 Armis 還是希望業(yè)界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式����,稱威脅可來(lái)自內(nèi)部或外部網(wǎng)絡(luò),另一項(xiàng)甚至威脅到了網(wǎng)絡(luò)本身的安全措施���。
Armis 表示����,URGENT / 11 對(duì)工業(yè)和醫(yī)療保健行業(yè)造成了最大的風(fēng)險(xiǎn)��,因其廣泛使用運(yùn)行 VxWorks 的設(shè)備���。
好消息是�,Wind River 已在 7 月 19 日發(fā)布的補(bǔ)丁中進(jìn)行了修復(fù)。壞消息是���,使用 RTOS 的設(shè)備����,并不能簡(jiǎn)單地執(zhí)行應(yīng)用軟件更新�����。
