产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
平时人们总能听到有关 windows 和 android 操作系统的漏洞报告,ios 和 linux 则要少一些。不过本文要为大家介绍的,则是 vxworks 实时操作系统(rtos)曝出的 11 个严重的零日漏洞。rtos 被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。
(题图 via )
报道称,过去 13 年里,这些设备已存在不少于 11 个零日漏洞。遗憾的是,由于 rtos 设备属于电子设备领域的沉默工作者,媒体并没有对其加以广泛的关注。
举个例子,rtos 软件驱动着从调制解调器、电梯、乃至核磁共振(mri)扫描仪等在内的各种机器。而 vxworks 的客户名单,涵盖了 xerox、nec、、理光等知名企业。
物联网安全研究机构 armis 将这些漏洞统称为 urgent / 11,以敦促行业尽快更新机器的 rtos 系统。其中六个比较严重的漏洞,或赋予攻击者远程代码执行的权限。
另外五个漏洞没有这样致命,但也可以在没有用户交互的情况下,授予攻击者相应的访问权限。讽刺的是,它们甚至可以绕过 vxworks 自带的防火墙和 nat 等安全设备。
尽管 grgent / 11 的名字看起来有些平淡,但 armis 还是希望业界能打起 12 分精神。研究人员提出了三种潜在的攻击方式,称威胁可来自内部或外部网络,另一项甚至威胁到了网络本身的安全措施。
armis 表示,urgent / 11 对工业和医疗保健行业造成了最大的风险,因其广泛使用运行 vxworks 的设备。
好消息是,wind river 已在 7 月 19 日发布的补丁中进行了修复。坏消息是,使用 rtos 的设备,并不能简单地执行应用软件更新。
试用申请
