محققان شرکت آرمیس از شناسایی 11 ضعف امنیتی در VxWorks خبر دادهاند.
VxWorks، یکی از پراستفادهترین سیستمهای عامل موسوم به بلادرنگ (Real-time) است که در بیش از 2 میلیارد دستگاه خاص صنایع زیرساختی، هوا فضا، نظامی، خودروسازی و الکترونیکی، ماشینآلات صنعتی، دستگاههای پزشکی و تجهیزات شبکه از آن استفاده شده است. بسیاری از دوربینهای اینترنتی، سوئیچهای شبکهای، روترها، فایروالها، تلفنهای VoIP، چاپگرها، محصولات ویدئو کنفرانس، چراغهای راهنمایی، آسانسورها، دستگاههای پایش وضعیت بیماران (Patient Monitor)، ماشینهای MRI، مودمهای ماهوارهای و حتی مریخنوردها و بهطور کلی بخش قابلتوجهی از دستگاههای معروف به اینترنت اشیا (IoT) بر پایه این سیستم عامل کار میکنند.
به گزارش شرکت مهندسی شبکه گستر، از این 11 آسیبپذیری که به URGENT/11 معروف شدهاند، 6 مورد دارای درجه اهمیت حیاتی (Critical) هستند. بهرهجویی از این آسیبپذیریها مهاجم را قادر به در اختیار گرفتن کنترل دستگاههای با این سیستم عامل، بهصورت از راه دور و بدون نیاز به هر گونه دخالت کاربر میکند.
ضعفهای مذکور از نحوه مدیریت بخش IPnet TCP/IP networking stack توسط این سیستم عامل ناشی میشود. IPnet TCP/IP Networking Stack از نسخه 6.5 (حدود 13 سال قبل) به VxWorks اضافه شد. گرچه هر 11 ضعف امنیتی متوجه نسخه 6.5 و نسخههای بعد از آن نیست اما هر یک از نسخههای عرضه شده طی 13 سال گذشته حداقل از یکی از این آسیبپذیریهای حیاتی تأثیر میپذیرند.
VxWorks توسط شرکت ویند ریور سیستمز توسعه داده شده و اکنون این شرکت با مشارکت آرمیس در حال انتشار اصلاحیههای امنیتی برای ترمیم آسیبپذیریهای مذکور است. اما از آنجا که محصولات مبتنی بر این سیستم عامل توسط شرکتهای دیگر ساخته و عرضه شدهاند باید امیدوار بود که خیلی زود این سازندگان اقدام به عرضه اصلاحیه یا حداقل انتشار توصیهنامههایی برای مقاومسازی موقت محصولات خود کنند.
جزییات کامل در خصوص URGENT/11 در اینجا قابل دریافت و مطالعه است.