Le système d'exploitation FreeRTOS largement utilisé par les appareils IdO peut être abusé par des pirates informatiques pour abattre les instances. Une équipe de chercheurs en sécurité a récemment annoncé qu'il contient de nombreux bugs permettant les pirates de nombreux chemins vers les cibles appareils IdO.
IdO Les appareils peuvent être facilement DESCENDU Via FreeRTOS Bug Exploits
Le système d'exploitation FreeRTOS populaire utilisé par de nombreux appareils IdO a été trouvé contenir de nombreux bugs permettant aux pirates d'exploiter facilement ces instances. Et même si les correctifs sont en cours d'élaboration de leur mise en œuvre ne sont pas toujours dans le laps de temps prévu. Une équipe de chercheurs en sécurité a annoncé que lors des essais 13 vulnérabilités ont été découvertes. Ils permettent aux criminels d'effectuer diverses attaques: le vol de données, des fuites d'informations, exécution de code distant, les attaques réseau, déni de service et etc. L'abus de la FreeRTOS peut être fait à la fois à l'aide manuelle ou automatisée des frameworks de tests de pénétration de spécialistes qui sont chargés de la preuve de concept de code contre le bogue spécifique.
Le code vulnérable affectionnait dans la pile réseau TCP / IP et les composants de connectivité sécurisée AWS. Ceci est l'un des modules fondamentaux et l'abus montre que des dommages importants peut se faire. L'année dernière, Amazon a commencé à étendre le noyau principal avec les bibliothèques logicielles qui ont permis des dispositifs IdO à connecter aux services de cloud AWS.
La liste complète des vulnérabilités comprend les éléments suivants:
- Exécution de code à distance - CVE-2018-16522, CVE-2018-16525, CVE-2018-16526, et CVE-2018-16528.
- fuite d'information - CVE-2018-16524, CVE-2018-16527, CVE-2018-16599, CVE-2018-16600, CVE-2018-16601, CVE-2018-16602, CVE-2018-16603.
- Déni de service Bug - CVE-2018-16523.
- vulnérabilité non spécifiée - CVE-2018-16598.
Les correctifs sont déjà libérés pour les instances déployées des versions AWS FreeRTOS 1.3.2 et ensuite. On croit qu'il ya beaucoup de fournisseurs qui utilisent ce système d'exploitation et la publication de plus amples informations est interrompue. Une période d'attente de 30 jours a commencé afin de permettre aux fournisseurs de corriger leurs modules. À son tour tous les propriétaires de l'appareil IdO devront vérifier si leurs instances exécutent une version vulnérable du système d'exploitation FreeRTOS et prendre les mesures nécessaires pour se protéger contre les attaques de pirates.