2019/07/30

Falhas no VxWorks deixam milhões de dispositivos vulneráveis


Uma série de vulnerabilidades designadas por Urgent/11 deixa milhões de equipamentos com o RTOS VxWorks em risco, com a maioria deles a não poder contar com uma actualização que corrija o problema.

O VxWorks da Wind River é um RTOS (Real Time Operating System) bastante popular que é utilizado numa vasta gama de equipamentos, que vai de equipamentos industriais a veículos, sistemas de telecomunicações, impressoras, robots, dispositivos médicos, etc. etc. A Wind River diz que é utilizado em mais de dois mil milhões de equipamentos - e praticamente todos eles passam a estar vulneráveis.

O Urgent/11 consiste numa série de vulnerabilidades que existem há mais de uma década no VxWorks, e que no fundo permitem realizar aquele tipo de ataques que vemos nos filmes e que podem parecer irrealistas. Por exemplo, num dos vídeos de demonstração, vemos como um atacante, perante uma firewall com VxWorks, pode simplesmente ultrapassar o processo de login e aceder à mesma com permissões de administrador.

Embora a Wind River já tenha disponibilizado actualizações para algumas versões, a quantidade de equipamentos, a sua disseminação, e o facto de se tratarem de falhas que afectam produtos com mais de uma década, faz recear efeitos nefastos a longo prazo. Bastará uma simples firewall desactualizada, ou um telefone VOIP, para que esse dispositivo se torne na porta de entrada para uma rede onde sejam feitos ataques adicionais, de ransomware, roubo de dados, etc.

É o tipo de cenário de pesadelo que se receia para a Internet of Things... e que não será uma questão de "se", mas sim de "quando".




Sem comentários:

Enviar um comentário (problemas a comentar?)