بیش از دو میلیارد دستگاه تحت تاثیر آسیب‌پذیری VxWorks

۱۱ آسیب‌پذیری در VxWorks کشف شده است که شش مورد از این آسیب‌پذیری‌ها، بحرانی هستند و به اجرای کد از راه دور منجر می‌شوند.

به گزارش پایگاه خبری آرمان اقتصادی از روابط عمومی مرکز مدیریت راهبردی افتا و به نقل از پایگاه اینترنتی ZDNet، ۵ مورد از این ۱۱ آسیب‌پذیری سیستم‌عامل VxWorks دارای حساسیت کمتری هستند و به ایجاد وضعیت انکار سرویس، خطاهای منطقی و افشا اطلاعات، منجر می‌شوند.
بنا به اعلام پژوهشگران امنیتی، یازده آسیب‌پذیری، طیف گسترده‌ای از دستگاه‌ها و سیستم‌ها از جمله مسیریاب‌ها، سیستم‌های پزشکی، چاپگرها، تجهیزات صنعتی، SCADA، کنترل‌کننده‌های صنعتی، دیوارآتش، مودم‌های ماهواره‌ای، آسانسورها، تلفن‌های VOIP و سیستم‌های مشابه را تحت تأثیر قرار می‌دهند.
براساس اطلاعات وب‌سایت Wind River، این سیستم‌عامل روی بیش از دو میلیارد دستگاه قرار دارد.
سیستم‌عامل‌های بی‌درنگ، RTOS که شرکت Wind River آن را ایجاد کرده است، قطعات نرم‌افزاری ساده با ویژگی‌های کمی هستند که روی چیپست‌هایی با دسترسی محدود به منابع استفاده می شوند.
یکی از کاربردهای این چیپست‌ها در دستگاه‌های اینترنت اشیا IOT است که در آن‌ها از این چیپست‌ها تنها برای مدیریت عملیات‌های ورودی/خروجی با پردازش داده کم و بدون نیاز به رابط بصری استفاده می‌شود.
این آسیب‌پذیری‌ها تمامی نسخه‌های VxWorks RTOS از ۶,۵ به بعد را تحت تاثیر قرار می‌دهند.
برخی از این آسیب‌پذیری‌ها قابل بهره‌برداری از طریق اینترنت هستند اما مهاجمان برای سوء استفاده از برخی دیگر، نیاز به دسترسی شبکه دارند.
برخی از آسیب‌پذیری‌ها در بعضی از دستگاه‌ها اهمیت بیشتری دارند. برای مثال در صورت نفوذ به یک دستگاه مسیریاب یا دیوارآتش که VxWorks را اجرا می‌کند، دسترسی به تمامی دستگاه‌های شبکه خصوصی آن دستگاه فراهم می‌شود. اما این آسیب‌پذیری در یک PLC صنعتی که به اینترنت متصل نباشد خطر کمتری دارد و شانس کمی برای مهاجم برای سوء استفاده از نقص امنیتی وجود دارد.
بنا به اعلام کارشناسان معاونت بررسی مرکز افتا، وصله‌های مربوط به این آسیب‌پذیری‌ها که به اختصار “Urgent11” نامیده شده است ، در ۲۵ تیر ماه گذشته منتشر شده‌اند و نسخه آخر (VxWorks 7 (SR620 تحت تاثیر آسیب‌پذیری‌ها قرار ندارد.