Breaking News

เตือนช่องโหว่ 13 รายการบน FreeRTOS เสี่ยงถูกเข้าควบคุมระบบ IoT ได้

Ori Karliner นักวิจัยด้านความมั่นคงปลอดภัยจาก Zimperium Security Labs (zLabs) ออกมาเปิดเผยถึงช่องโหว่บน FreeRTOS และเวอร์ชันปรับปรุงของ Amazon และ WHIS รวมทั้งสิ้น 13 รายการ เสี่ยงถูกแฮ็กเกอร์ล่มระบบ ขโมยข้อมูล หรือลอบรันโค้ดแปลกปลอมจากระยะไกลได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

FreeRTOS เป็นหนึ่งในระบบปฏิบัติการแบบเรียลไทม์ (Real-time Operating System) แบบ Open-source ยอดนิยมสำหรับ Embedded Systems ซึ่งถูกนำไปใช้งานบน Microcontrollers กว่า 40 รายการ สำหรับใช้ในระบบ IoT, อากาศยาน, การแพทย์, อุตสาหกรรมเครื่องยนต์ และอื่นๆ โดยระบบปฏิบัติการดังกล่าวถูกออกแบบมาเพื่อรันแอปพลิเคชันที่ต้องการความเที่ยงตรงและแม่นยำเรื่องเวลา เช่น เครื่องกระตุ้นไฟฟ้าหัวใจ (Pacemaker)

ปัจจุบันนี้ โปรเจกต์ FreeRTOS ถูกบริหารจัดการโดย Amazon ซึ่งก็ได้นำมาต่อยอดโดยการอัปเกรด Kernel และองค์ประกอบบางส่วน เพื่อเพิ่มความสามารถด้านการเชื่อมต่ออย่างมั่นคงปลอดภัย การอัปเกรดแบบไร้สาย การทำ Code Signing และการรองรับ AWS Cloud กลายเป็น Amazon FreeRTOS (a:FreeRTOS) นอกจากนี้ WITTENSTEIN high integrity systems (WHIS) ก็ได้นำ FreeRTOS มาพัฒนาต่อยอดด้วยเช่นเดียวกัน คือ WHIS OpenRTOS สำหรับเชิงพาณิชย์และ SafeRTOS ซึ่งเป็น Safety-oriented RTOS สำหรับใช้ในอุปกรณ์ที่ต้องการความปลอดภัยสูง

สำหรับช่องโหว่บน FreeRTOS ที่ Karliner ค้นพบนั้นมีทั้งสิ้น 13 รายการ ซึ่งส่งผลกระทบบน FreeRTOS และระบบที่พัฒนาโดย Amazon และ WHIS ช่องโหว่เหล่านี้ช่วยให้แฮ็กเกอร์สามารถล่มระบบ ขโมยข้อมูลจากหน่วยความจำ และโจมตีแบบ Remote Code Execution บนเครื่องเป้าหมายได้ เรียกได้ว่าสามารถเข้าควบคุมอุปกรณ์ได้ตามต้องการ อย่างไรก็ตาม Karliner ปฏิเสธที่จะเปิดเผยรายละเอียดของช่องโหว่เป็นระยะเวลา 1 เดือน เพื่อเปิดโอกาสให้หลายๆ บริษัททำการอัปเดตแพตช์

Karliner ได้รายงานช่องโหว่นี้ไปยัง Amazon ซึ่งก็ได้ออกแพตช์ Amazon FreeRTOS เวอร์ชัน 1.3.2 เพื่ออุดช่องโหว่ดังกล่าว (เวอร์ชันล่าสุดคือ 1.4.2) ในขณะที่ WHIS ก็ออกแพตช์เพื่อแก้ปัญหาแล้วเช่นเดียวกัน

รายละเอียดเพิ่มเติม: https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/

ที่มา: https://thehackernews.com/2018/10/amazon-freertos-iot-os.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …

FMS เรียนเชิญผู้สนใจเข้าร่วม Workshop เจาะลึกระบบการผลิต และสินค้าคงคลัง ด้วย SAP Business One ฟรี 4 ต.ค. นี้

FMS ร่วมกับ SAP Thailand – ขอเชิญลูกค้ากลุ่ม โรงงาน และ อุตสาหกรรมการผลิต เข้าร่วมงาน สัมมนา Workshop ฟรี “เจาะลึกระบบการผลิต และ สินค้าคงคลัง ด้วย SAP Business One” ในวันศุกร์ …