SSL信息一位安全研究人员在一种最流行的嵌入式实时操作系统(称为FreeRTOS)及其他变种中发现了几个关键漏洞,向黑客揭示了各种物联网设备和关键基础设施系统。
什么是FreeRTOS(亚马逊,WHIS OpenRTOS,SafeRTOS)?
FreeRTOS是用于嵌入式系统的领先开源实时操作系统(RTOS),已移植到40多个微控制器,用于物联网,航空航天,医疗,汽车行业等。RTOS专门设计用于精确运行具有非常精确定时和高可靠性的应用程序。
心脏起搏器是实时嵌入式系统的一个很好的例子,它可以在正确的时间收缩心肌,这个过程不能延迟,使人进行存活。
自去年年底以来,FreeRTOS项目由亚马逊管理,亚马逊通过升级FreeRTOS内核及其部分组件为微控制器创建了亚马逊FreeRTOS物联网操作系统。
亚马逊通过添加模块实现安全连接,无线更新,代码签名,AWS云支持等功能,增强了FreeRTOS功能。
除亚马逊外,WITTENSTEIN高完整性系统(WHIS)还维护两种FreeRTOS变体 - 一种名为WHIS OpenRTOS的FreeRTOS商业版本,以及一种名为SafeRTOS的安全型RTOS,用于安全关键设备。
FreeRTOS漏洞和安全补丁
Zimperium安全实验室(zLabs)的安全研究员Ori Karliner在FreeRTOS的TCP / IP堆栈中发现了13个漏洞,这些漏洞也影响了由Amazon和WHIS维护的变体,如下所示:
这些漏洞可能允许攻击者使目标设备崩溃,从其内存泄漏信息,以及最令人担忧的远程执行恶意代码,从而完全控制目标设备。
据该研究人员称,这些漏洞影响FreeRTOS版本高达10.0.1(使用FreeRTOS + TCP),AWS FreeRTOS版本高达1.3.1,以及WHIS OpenRTOS和SafeRTOS(使用WHIS Connect中间件TCP / IP组件)。
Zimperium报告了亚马逊的漏洞,该公司昨天为AWS FreeRTOS 1.3.2及更高版本(最新版本1.4.2)部署了安全补丁。
为了让较小的供应商能够在攻击者试图利用它们漏洞之前修补问题,zLabs决定至少在一个月内不向公众披露这些漏洞的技术细节。