Wind River修复VxWorks的多个安全漏洞
平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告,iOS 和 Linux 则要少一些。不过本文要为大家介绍的,则是 VxWorks 实时操作系统(RTOS)曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。
报道称,过去 13 年里,这些设备已存在不少于 11 个零日漏洞。遗憾的是,由于 RTOS 设备属于电子设备领域的沉默工作者,媒体并没有对其加以广泛的关注。
举个例子,RTOS 软件驱动着从调制解调器、电梯、乃至核磁共振(MRI)扫描仪等在内的各种机器。而 VxWorks 的客户名单,涵盖了 Xerox、NEC、三星、理光等知名企业。
物联网安全研究机构 Armis 将这些漏洞统称为 URGENT / 11,以敦促行业尽快更新机器的 RTOS 系统。其中六个比较严重的漏洞,或赋予攻击者远程代码执行的权限。
另外五个漏洞没有这样致命,但也可以在没有用户交互的情况下,授予攻击者相应的访问权限。讽刺的是,它们甚至可以绕过 VxWorks 自带的防火墙和 NAT 等安全设备。
尽管 GRGENT / 11 的名字看起来有些平淡,但 Armis 还是希望业界能打起 12 分精神。研究人员提出了三种潜在的攻击方式,称威胁可来自内部或外部网络,另一项甚至威胁到了网络本身的安全措施。
Armis 表示,URGENT / 11 对工业和医疗保健行业造成了最大的风险,因其广泛使用运行 VxWorks 的设备。
好消息是,Wind River 已在 7 月 19 日发布的补丁中进行了修复。坏消息是,使用 RTOS 的设备,并不能简单地执行应用软件更新。