(題圖 via SlashGear)
報道稱�����,過去 13 年里�����,這些設備已存在不少于 11 個零日漏洞�����。遺憾的是�����,由于 RTOS 設備屬于電子設備領域的沉默工作者�����,媒體并沒有對其加以廣泛的關注�����。
舉個例子�����,RTOS 軟件驅動著從調制解調器�����、電梯�����、乃至核磁共振(MRI)掃描儀等在內的各種機器�����。而 VxWorks 的客戶名單,涵蓋了 Xerox�����、NEC�����、三星�����、理光等知名企業(yè)�����。
物聯(lián)網(wǎng)安全研究機構 Armis 將這些漏洞統(tǒng)稱為 URGENT / 11�����,以敦促行業(yè)盡快更新機器的 RTOS 系統(tǒng)�����。其中六個比較嚴重的漏洞�����,或賦予攻擊者遠程代碼執(zhí)行的權限�����。
另外五個漏洞沒有這樣致命�����,但也可以在沒有用戶交互的情況下�����,授予攻擊者相應的訪問權限�����。諷刺的是�����,它們甚至可以繞過 VxWorks 自帶的防火墻和 NAT 等安全設備�����。
盡管 GRGENT / 11 的名字看起來有些平淡,但 Armis 還是希望業(yè)界能打起 12 分精神�����。研究人員提出了三種潛在的攻擊方式�����,稱威脅可來自內部或外部網(wǎng)絡�����,另一項甚至威脅到了網(wǎng)絡本身的安全措施�����。
Armis 表示�����,URGENT / 11 對工業(yè)和醫(yī)療保健行業(yè)造成了最大的風險�����,因其廣泛使用運行 VxWorks 的設備�����。
好消息是�����,Wind River 已在 7 月 19 日發(fā)布的補丁中進行了修復�����。壞消息是�����,使用 RTOS 的設備�����,并不能簡單地執(zhí)行應用軟件更新�����。
