FreeRTOS漏洞將多個系統暴露於攻擊之下
安全研究員警告,FreeRTOS作業系統中發現的漏洞可能使大範圍的系統遭受攻擊,這些系統包括智慧家居裝置及關鍵基礎設施。
FreeRTOS是專門為微控制器設計的開源作業系統。該作業系統應用於許多領域,包括感測器、致動器、泵等工業應用,安全裝置、門鎖等B2B解決方案領域,及家用電器、可穿戴技術等消費品領域。 於2017年接手FreeRTOS專案的亞馬遜已為其增加了雲連線服務。
該作業系統商業版本為OpenRTOS,由WITTENSTEIN高整合系統(WHIS)維護。 同時,WHIS也開發了其安全版本SafeRTOS。
Zimperium zLabs的安全研究員們分析了FreeRTOS的TCP/IP協議棧,及亞馬遜雲服務(AWS)安全連線模組, 發現其中存在的十餘個漏洞也對OpenRTOS與SafeRTOS有影響。
亞馬遜與WHIS都已為該實驗室發現的漏洞開發補丁。亞馬遜釋出新版本FreeRTOS 1.3.2,修復了這些漏洞。
由於這是一個開源專案,該行動網路安全公司決定在接下來30天內不再透露任何漏洞細節,以保證供應商順利部署補丁。
而實際上,該公司已公佈其所發現的每個漏洞的部分資訊, 如四個遠端程式碼執行漏洞、一個拒絕服務漏洞(DoS)及七個資訊洩露漏洞。
zLabs在部落格中寫道, “黑客可利用這些漏洞使裝置崩潰、洩露裝置儲存資訊、在裝置上遠端執行程式碼,也就是將其完全攻陷。”
由於FreeRTOS廣泛應用於各系統中,Zimperium安全研究員們發現的漏洞對於惡意行為人非常有用,如: 利用這些漏洞,網路罪犯可組建基於智慧家居裝置的殭屍網路,居心叵測的威脅行為人可將關鍵基礎設施作為攻擊目標。
E安全注: 本文系E安全獨家編譯報道,轉載請聯絡授權,並保留出處與連結,不得刪減內容 。聯絡方式:① 微信號j871798128 ②郵箱[email protected]
@E安全,最專業的前沿網路安全媒體和產業服務平臺,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全入口網站www.easyaq.com , 檢視更多精彩內容。