เตือนช่องโหว่ 13 รายการบน FreeRTOS เสี่ยงถูกเข้าควบคุมระบบ IoT ได้

Ori Karliner นักวิจัยด้านความมั่นคงปลอดภัยจาก Zimperium Security Labs (zLabs) ออกมาเปิดเผยถึงช่องโหว่บน FreeRTOS และเวอร์ชันปรับปรุงของ Amazon และ WHIS รวมทั้งสิ้น 13 รายการ เสี่ยงถูกแฮ็กเกอร์ล่มระบบ ขโมยข้อมูล หรือลอบรันโค้ดแปลกปลอมจากระยะไกลได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

FreeRTOS เป็นหนึ่งในระบบปฏิบัติการแบบเรียลไทม์ (Real-time Operating System) แบบ Open-source ยอดนิยมสำหรับ Embedded Systems ซึ่งถูกนำไปใช้งานบน Microcontrollers กว่า 40 รายการ สำหรับใช้ในระบบ IoT, อากาศยาน, การแพทย์, อุตสาหกรรมเครื่องยนต์ และอื่นๆ โดยระบบปฏิบัติการดังกล่าวถูกออกแบบมาเพื่อรันแอปพลิเคชันที่ต้องการความเที่ยงตรงและแม่นยำเรื่องเวลา เช่น เครื่องกระตุ้นไฟฟ้าหัวใจ (Pacemaker)

ปัจจุบันนี้ โปรเจกต์ FreeRTOS ถูกบริหารจัดการโดย Amazon ซึ่งก็ได้นำมาต่อยอดโดยการอัปเกรด Kernel และองค์ประกอบบางส่วน เพื่อเพิ่มความสามารถด้านการเชื่อมต่ออย่างมั่นคงปลอดภัย การอัปเกรดแบบไร้สาย การทำ Code Signing และการรองรับ AWS Cloud กลายเป็น Amazon FreeRTOS (a:FreeRTOS) นอกจากนี้ WITTENSTEIN high integrity systems (WHIS) ก็ได้นำ FreeRTOS มาพัฒนาต่อยอดด้วยเช่นเดียวกัน คือ WHIS OpenRTOS สำหรับเชิงพาณิชย์และ SafeRTOS ซึ่งเป็น Safety-oriented RTOS สำหรับใช้ในอุปกรณ์ที่ต้องการความปลอดภัยสูง

สำหรับช่องโหว่บน FreeRTOS ที่ Karliner ค้นพบนั้นมีทั้งสิ้น 13 รายการ ซึ่งส่งผลกระทบบน FreeRTOS และระบบที่พัฒนาโดย Amazon และ WHIS ช่องโหว่เหล่านี้ช่วยให้แฮ็กเกอร์สามารถล่มระบบ ขโมยข้อมูลจากหน่วยความจำ และโจมตีแบบ Remote Code Execution บนเครื่องเป้าหมายได้ เรียกได้ว่าสามารถเข้าควบคุมอุปกรณ์ได้ตามต้องการ อย่างไรก็ตาม Karliner ปฏิเสธที่จะเปิดเผยรายละเอียดของช่องโหว่เป็นระยะเวลา 1 เดือน เพื่อเปิดโอกาสให้หลายๆ บริษัททำการอัปเดตแพตช์

Karliner ได้รายงานช่องโหว่นี้ไปยัง Amazon ซึ่งก็ได้ออกแพตช์ Amazon FreeRTOS เวอร์ชัน 1.3.2 เพื่ออุดช่องโหว่ดังกล่าว (เวอร์ชันล่าสุดคือ 1.4.2) ในขณะที่ WHIS ก็ออกแพตช์เพื่อแก้ปัญหาแล้วเช่นเดียวกัน

รายละเอียดเพิ่มเติม: https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/

ที่มา: https://thehackernews.com/2018/10/amazon-freertos-iot-os.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft อัปเดตฟีเจอร์ด้านความมั่นคงปลอดภัยให้ OneDrive

Microsoft ได้ประกาศเพิ่มความสามารถ ‘OneDrive Personal Vault’ เพื่อช่วยการป้องกันการเข้าถึงไฟล์บน OneDrive ด้วยวิธีการพิสูจน์ตัวตนที่เข้มแข็งขึ้นหรือใช้ 2-steps Verification

ผู้เชี่ยวชาญชี้พบปฏิบัติการของแฮ็กเกอร์จีนแทรกซึมผู้ให้บริการเครือข่ายโทรศัพท์กว่า 10 แห่งในหลายทวีป

Cybereason บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกรายงานว่ามีการค้นพบหลักฐานที่บ่งชี้ว่ามีกลุ่มแฮ็กเกอร์จีนที่ได้รับการสนับสนุนจากรัฐเข้าแทรกซึมผู้ให้บริการด้านเครือข่ายโทรศัพท์ไม่ต่ำกว่า 10 แห่งในหลากหลายทวีป เช่น เอเชีย ตะวันออกกลาง แอฟริกา และยุโรป โดยปฏิบัติการครั้งนี้ได้รับชื่อว่า ‘Soft Cell’