Het FreeRTOS besturingssysteem veel gebruikt door ivd inrichtingen kunnen worden misbruikt door hackers de instanties neer te halen. Een team van security onderzoekers heeft onlangs aangekondigd dat het bevat veel bugs waardoor hackers tal van routes naar het doel ivd apparaten.
Ivd-apparaten kunnen worden gemakkelijk afgebroken Via FreeRTOS Bug Exploits
De populaire FreeRTOS besturingssysteem wordt gebruikt door veel ivd apparaten is gebleken dat een groot aantal bugs waardoor hackers om dergelijke gevallen gemakkelijk te misbruiken. En hoewel patches worden ontwikkeld de uitvoering ervan is niet altijd in de verwachte tijdsbestek. Een team van security onderzoekers aangekondigd dat tijdens het testen 13 kwetsbaarheden zijn ontdekt. Ze laten de criminelen verschillende aanvallen uit te voeren: diefstal van gegevens, informatie lekken, uitvoering van externe code, aanvallen op het netwerk, denial-of-service en etc. Misbruik van FreeRTOS kan zowel manueel gebeuren of automatisch via gespecialiseerde penetratietesten kaders die zijn geladen met de proof-of-concept code tegen specifieke bug.
De kwetsbare code was dol binnen de TCP / IP-netwerk stack en de AWS veilige connectiviteit componenten. Dit is een van de fundamentele modules en het misbruik blijkt dat aanzienlijke schade kan. Vorig jaar Amazon begonnen met de belangrijkste kernel met software bibliotheken waardoor ivd-apparaten worden aangesloten op de AWS cloud-diensten uit te breiden.
De volledige lijst van kwetsbaarheden omvat de volgende:
- Uitvoering van externe code - CVE-2018-16.522, CVE-2018-16.525, CVE-2018-16.526, en CVE-2018-16.528.
- Information Leak - CVE-2018-16.524, CVE-2018-16.527, CVE-2018-16.599, CVE-2018-16.600, CVE-2018-16.601, CVE-2018-16.602, CVE-2018-16.603.
- Denial-of-Service Bug - CVE-2018-16.523.
- Unspecified Vulnerability - CVE-2018-16.598.
Patches zijn al vrijgegeven voor ingezet instanties van de AWS FreeRTOS versies 1.3.2 en later. Men gaat ervan uit dat er veel verkopers die gebruikmaken van dit besturingssysteem en publiceren van nadere informatie wordt stopgezet. Een wachttijd van 30 dagen is begonnen, zodat de verkopers om hun modules patch. Op zijn beurt zal alle ivd apparaat eigenaren moeten controleren of hun gevallen kan een kwetsbare versie van het FreeRTOS besturingssysteem uit te voeren en de nodige maatregelen nemen om zich te beschermen tegen aanvallen van hackers.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: