路由网时常能听到关于windows和android系统漏洞的消息,而ios和linux的漏洞则相对较少。然而,本文将为大家揭示的是vxworks实时操作系统(rtos)被发现的11个严重零日漏洞。rtos广泛应用于众多关键计算机系统中,因此这次曝出的大规模安全漏洞可能会带来灾难性的影响。
报道指出,在过去的13年里,这些设备至少存在11个零日漏洞。遗憾的是,由于RTOS设备属于电子设备中的低调工作者,这类问题并未引起媒体的广泛关注。
例如,RTOS软件控制着从调制解调器、电梯到核磁共振(MRI)扫描仪等多种机器。VxWorks的客户包括Xerox、NEC、三星和理光等知名企业。
物联网安全公司Armis将这些漏洞统称为URGENT/11,旨在促使行业迅速升级运行RTOS的设备。其中六个较为严重的漏洞可能允许攻击者实现远程代码执行。
另外五个漏洞虽然没有那么危险,但仍能在无需用户交互的情况下给予攻击者访问权限。更令人担忧的是,它们还能绕过VxWorks自带的防火墙和NAT等安全机制。
尽管URGENT/11这个名字显得平平无奇,但Armis仍希望业界能够高度重视。研究人员提出了三种潜在的攻击途径,指出威胁可能源自内网或外网,甚至影响到网络安全措施本身。
Armis警告称,URGENT/11对工业和医疗保健领域构成最大风险,因为这些行业大量使用基于VxWorks的操作系统设备。
好消息是,Wind River已在7月19日发布的补丁中解决了这些问题。不过坏消息是,运行RTOS的设备无法像普通应用一样轻松完成软件更新。
