Miljoenen embedded apparaten lek door VxWorks-gat

Alles van telecominfrastructuur tot Mars-lander kwetsbaar.

Een integer-overflow-issue speelt het ontzettende populaire RTOS VxWorks parten. Hierdoor zijn miljoenen apparaten kwetsbaar voor aanvallers.


Een onderzoeker heeft een kwetsbaarheid ontdekt in het veelgebruikte Intel-platform VxWorks. Hij vond een integer-overflow waardoor aanvallers code malafide kunnen schrijven naar het werkgeheugen. Daarna is het mogelijk een toegangsfunctionaliteit aan te maken en opdrachten uit te voeren op het systeem.




Niet alles kwetsbaar

VxWorks is verrweg het populairste realtimebesturingssysteem (RTOS) dat wordt gebruikt in zo'n 1,5 miljard apparaten. Het wordt gebruikt in miljoenen embedded apparaten: industriŽle controlesystemen (ICS), netwerkapparatuur van onder meer Cisco en Huawei, medische systemen, NASA-sondes, militaire drones en vliegtuigen.

De aanvallers moeten het apparaat specifiek aanspreken via poort 111 en versies 5.5 tot en met 6.9.4.1. Verder is er wel goed nieuws voor Amerikaanse legerhelikopters en vliegtuigen als Boeings Dreamliner: de speciaal voor zulke kritieke overheidssystemen ontwikkelde versie 653 van VxWorks (PDF) is niet kwetsbaar voor het integer-overflow-issue, zo meldt Forbes.



Gerelateerde vragen


Hoi, ik las bij een van de vragen dat bij Windows 10: "MS mede-eigenaar van al jouw data (foto's, tekst enz.) wordt". Gaat het dan om de data, en foto's die je in hun Cloud dienst parkeert of hoe moet ik dat zien? Kan me iemand hier iets meer over vertell