Il sistema operativo FreeRTOS ampiamente utilizzato dai dispositivi internet degli oggetti può essere oggetto di abusi da parte di hacker informatici per abbattere le istanze. Un team di ricercatori di sicurezza ha recentemente annunciato che contiene molti bug che permettono agli hacker numerosi percorsi verso il bersaglio elettrodomestici IoT.
Dispositivi dell'Internet degli oggetti può essere facilmente smontato Via FreeRTOS exploit di bug
Il sistema operativo FreeRTOS popolare usato da molti dispositivi internet degli oggetti è stata rilevata la presenza di numerosi bug che consente agli hacker di sfruttare facilmente tali casi. E anche se le patch sono in fase di sviluppo la loro attuazione non è sempre nel lasso di tempo previsto. Un team di ricercatori di sicurezza ha annunciato che durante i test 13 vulnerabilità sono stati scoperti. Essi consentono ai criminali di effettuare vari attacchi: furto di dati, informazioni che perde, esecuzione di codice remoto, attacchi di rete, denial-of-service ed ecc. L'abuso della FreeRTOS può essere effettuata sia manualmente o automatizzato utilizzando framework di test di penetrazione specialista che vengono caricati con il codice proof-of-concept contro il bug specifico.
Il codice vulnerabile voleva bene all'interno del protocollo TCP / IP stack di rete e le componenti di connettività sicura AWS. Questo è uno dei moduli fondamentali e il suo abuso dimostra che danno significativo può essere fatto. Lo scorso anno Amazon ha iniziato a estendere il kernel principale con librerie software che hanno permesso dispositivi internet degli oggetti da collegare ai servizi cloud AWS.
L'elenco completo delle vulnerabilità comprende i seguenti:
- L'esecuzione di codice remoto - CVE-2.018-16.522, CVE-2.018-16.525, CVE-2.018-16.526, e CVE-2.018-16.528.
- fuga di informazioni - CVE-2.018-16.524, CVE-2.018-16.527, CVE-2.018-16.599, CVE-2.018-16.600, CVE-2.018-16.601, CVE-2.018-16.602, CVE-2.018-16.603.
- Denial-of-Service Bug - CVE-2.018-16.523.
- vulnerabilità non specificato - CVE-2.018-16.598.
Le patch sono già rilasciati per le istanze distribuite delle versioni AWS FreeRTOS 1.3.2 e più tardi. Si ritiene che ci sono molti venditori che utilizzano questo sistema operativo e la pubblicazione ulteriori informazioni viene arrestato. Un periodo di attesa di 30 giorni ha iniziato in modo da permettere ai venditori di applicare le patch relative moduli. A loro volta tutti i proprietari di dispositivi dell'Internet degli oggetti sarà necessario verificare se i loro casi eseguire una versione vulnerabile del sistema operativo FreeRTOS e prendere le misure necessarie per proteggersi da attacchi di hacking.