آسیب‌پذیری‌های بحرانی VxWorks؛ بیش از 2 میلیارد دستگاه در معرض خطر

محققان شرکت آرمیس از شناسایی 11 ضعف امنیتی در VxWorks خبر داده‌اند.

VxWorks، یکی از پراستفاده‌ترین سیستم‌های عامل موسوم به بلادرنگ (Real-time) است که در بیش از 2 میلیارد دستگاه خاص صنایع زیرساختی، هوا فضا، نظامی، خودروسازی و الکترونیکی، ماشین‌آلات صنعتی، دستگاه‌های پزشکی و تجهیزات شبکه از آن استفاده شده است. بسیاری از دوربین‌های اینترنتی، سوئیچ‌های شبکه‌ای، روترها، فایروال‌ها، تلفن‌های VoIP، چاپگرها، محصولات ویدئو کنفرانس، چراغ‌های راهنمایی، آسانسورها، دستگاه‌های پایش وضعیت بیماران (Patient Monitor)، ماشین‌های MRI، مودم‌های ماهواره‌ای و حتی مریخ‌نوردها و به‌طور کلی بخش قابل‌توجهی از دستگاه‌های معروف به اینترنت اشیا (IoT) بر پایه این سیستم عامل کار می‌کنند.

به گزارش شرکت مهندسی شبکه گستر، از این 11 آسیب‌پذیری که به URGENT/11 معروف شده‌اند، 6 مورد دارای درجه اهمیت حیاتی (Critical) هستند. بهره‌جویی از این آسیب‌پذیری‌ها مهاجم را قادر به در اختیار گرفتن کنترل دستگاه‌های با این سیستم عامل، به‌صورت از راه دور و بدون نیاز به هر گونه دخالت کاربر می‌کند.

ضعف‌های مذکور از نحوه مدیریت بخش IPnet TCP/IP networking stack توسط این سیستم عامل ناشی می‌شود. IPnet TCP/IP Networking Stack از نسخه 6.5 (حدود 13 سال قبل) به VxWorks اضافه شد. گرچه هر 11 ضعف امنیتی متوجه نسخه 6.5 و نسخه‌های بعد از آن نیست اما هر یک از نسخه‌های عرضه شده طی 13 سال گذشته حداقل از یکی از این آسیب‌پذیری‌های حیاتی تأثیر می‌پذیرند.

VxWorks توسط شرکت ویند ریور سیستمز توسعه داده شده و اکنون این شرکت با مشارکت آرمیس در حال انتشار اصلاحیه‌های امنیتی برای ترمیم آسیب‌پذیری‌های مذکور است. اما از آنجا که محصولات مبتنی بر این سیستم عامل توسط شرکت‌های دیگر ساخته و عرضه شده‌اند باید امیدوار بود که خیلی زود این سازندگان اقدام به عرضه اصلاحیه یا حداقل انتشار توصیه‌نامه‌هایی برای مقاوم‌سازی موقت محصولات خود کنند.

جزییات کامل در خصوص URGENT/11 در اینجا قابل دریافت و مطالعه است.