В операционной системе реального времени, широко используемой для управления IoT-устройствами, обнаружены серьезные уязвимости. Патчи уже выпущены, однако исследователи опасаются, что мелкие предприниматели не сумеют быстро обновить свою продукцию.

Эксперт Ори Карлинер (Ori Karliner) из команды zLabs компании Zimperium проанализировал несколько ОС, пользующихся популярностью у вендоров IoT, в том числе FreeRTOS — проект с открытым исходным кодом для встраиваемых микроконтроллеров. В нескольких версиях FreeRTOS исследователь суммарно выявил 13 уязвимостей, в том числе баги удаленного выполнения кода, раскрытия информации и отказа в обслуживании.

«В ходе исследования мы обнаружили множественные уязвимости в стеке TCP/IP операционной системы FreeRTOS и модулях защищенного подключения к сервисам AWS. — пишут аналитики в блоге zLabs. — Эти же уязвимости присутствуют в компоненте Connect TCP/IP операционных систем OpenRTOS и SafeRTOS разработки WHIS».

В прошлом году Amazon, которая стала куратором проекта FreeRTOS, расширила ядро операционной системы, добавив свои библиотеки, обеспечивающие подключение IoT-устройств к ее облачным сервисам, в том числе к AWS IoT Core. Компания WITTENSTEIN high integrity systems (WHIS) создала на базе FreeRTOS две собственные версии: коммерческую OpenRTOS и нацеленную на безопасность SafeRTOS для использования на критически важных объектах.

Согласно блог-записи zLabs, уязвимостям подвержены FreeRTOS 10.0.1 и ниже (со стеком TCP), Amazon FreeRTOS (a:FreeRTOS) 1.3.1 и ниже, а также WHIS OpenRTOS и SafeRTOS.

Исследователи сообщили в Amazon о проблемах и помогли создать патчи, которые уже розданы на устройства, работающие под управлением a:FreeRTOS 1.3.2 и выше. Операционные системы WHIS тоже уже пропатчены.

Из-за большого количества затронутых вендоров с публикацией подробностей было решено повременить. «Поскольку это проект с открытым исходным кодом, мы огласим технические детали находок через месяц, чтобы дать малому бизнесу время на установку патчей», — сказано в блоге zLabs.

Число уязвимых устройств исследователи не уточнили, но их должно быть много. За 14 лет FreeRTOS была портирована более чем на 40 платформ. Согласно результатам опроса, проведенного Aspencore в прошлом году, FreeRTOS является фаворитом на рынке встроенных устройств — ей отдали предпочтение многие IT-профессионалы, делясь планами разработок на ближайшие 12 месяцев.

Категории: Уязвимости