Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США опубликовали предупреждение, согласно которому, уязвимости Urgent/11, информация о которых была обнародована летом текущего года, представляют угрозу не только для  операционной системы реального времени (RTOS) VxWorks, разработанной компанией Wind River..

Информацию о проблемах Urgent/11 прошлым летом раскрыли аналитики компании Armis. Обнаруженные ими уязвимости касаются работы стека TCP/IP (IPnet), который используется в VxWorks для подключения к интернету и другим устройствам в локальных сетях. Интересно, что стек IPnet был приобретен Wind River вместе с покупкой компании Interpeak в 2006 году, то есть он не является эксклюзивным для VxWorks, и ранее был лицензирован и использован другими поставщиками RTOS.

Уязвимости Urgent/11 позволяют запускать вредоносный код на широком спектре устройств, от маршрутизаторов до брандмауэров, от принтеров до промышленного оборудования.

Но, как выяснилось теперь, одной лишь VxWorks дело не ограничилось. Проведенное летом тестирование выявило, что уязвимости также представляют опасность для устройств с другими RTOS, например, OSE от ENEA, INTEGRITY от Green Hills, Microsoft ThreadX, ITRON от TRON Forum, Mentor Nucleus RTOS, а также ZebOS.

Специалисты Armis уже выпустили инструмент, который сканирует сети в поисках устройств, которые содержат сетевой стек IPnet и уязвимы перед Urgent/11.

Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США призывают компании и медицинские учреждения проверить свои устройства и убедиться, что ты не работают под управлением какой-либо из уязвимых операционных систем. Пока единственными медицинскими устройствами, которые признаны уязвимыми для Urgent/11, являются инфузионный насос BD Alaris, а также монитор состояния пациента Xprezzon.

После первоначального раскрытия деталей о проблемах Urgent/11 многие производители опубликовали рекомендации по безопасности, касающиеся работы с уязвимым оборудованием, а также представили исправления. Ниже приведен список рекомендаций по безопасности от различных компаний:

Кроме того, разработчики ряда операционных систем, недавно признанных уязвимыми для Urgent/11, опубликовали собственные заявления посредством Министерства внутренней безопасности США.

ENEA, производитель OSE, рекомендовал пользователям перейти на более новую версию OSE или связаться с WindRiver (ныне владельцем лицензии на Interpeak) для урегулирования проблем.

Green Hills Software, производитель INTEGRITY, также адресовал пострадавших пользователей к Wind River.

Microsoft заявила, что никогда не поддерживала IPnet в ThreadX, но некоторые производители могли использовать ThreadX и кастомный IPnet в своем оборудовании, и в результате некоторые девайсы, работающее с ThreadX, все же могут быть уязвимы.

TRON Forum  заявляет, что публикует только спецификацию для RTOS ITRON, а производители оборудования вольны использовать эту спецификацию по своему усмотрению, в том числе используя IPnet в качестве сетевого стека, хотя она не рекомендована в спецификации. TRON Forum сообщает, что разошлет предупреждения пользователям через свою рассылку, чтобы уведомить разработчиков об обнаруженных уязвимостях.

3 комментария

  1. Аватар

    Jeffrey Davis

    09.10.2019 at 11:42

    Теперь злобные хакеры захватят управление оборудованием на фармацевтическом заводе и приготовят яд 😈

    • Аватар

      richman1000000

      09.10.2019 at 18:39

      Сомневаюсь. Учитывая наклонности хакеров — наркоту закажут роботам.

    • Аватар

      int01h

      09.10.2019 at 19:53

      Или угонять F-35, в случае с INTEGRITY. Вообще-то большой вопрос к гринхилс с их ОС, шумели-то они порядочно о сертификации по еалу. А тут на тебе))

Оставить мнение