เตือนช่องโหว่ 13 รายการบน FreeRTOS เสี่ยงถูกเข้าควบคุมระบบ IoT ได้

Ori Karliner นักวิจัยด้านความมั่นคงปลอดภัยจาก Zimperium Security Labs (zLabs) ออกมาเปิดเผยถึงช่องโหว่บน FreeRTOS และเวอร์ชันปรับปรุงของ Amazon และ WHIS รวมทั้งสิ้น 13 รายการ เสี่ยงถูกแฮ็กเกอร์ล่มระบบ ขโมยข้อมูล หรือลอบรันโค้ดแปลกปลอมจากระยะไกลได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

FreeRTOS เป็นหนึ่งในระบบปฏิบัติการแบบเรียลไทม์ (Real-time Operating System) แบบ Open-source ยอดนิยมสำหรับ Embedded Systems ซึ่งถูกนำไปใช้งานบน Microcontrollers กว่า 40 รายการ สำหรับใช้ในระบบ IoT, อากาศยาน, การแพทย์, อุตสาหกรรมเครื่องยนต์ และอื่นๆ โดยระบบปฏิบัติการดังกล่าวถูกออกแบบมาเพื่อรันแอปพลิเคชันที่ต้องการความเที่ยงตรงและแม่นยำเรื่องเวลา เช่น เครื่องกระตุ้นไฟฟ้าหัวใจ (Pacemaker)

ปัจจุบันนี้ โปรเจกต์ FreeRTOS ถูกบริหารจัดการโดย Amazon ซึ่งก็ได้นำมาต่อยอดโดยการอัปเกรด Kernel และองค์ประกอบบางส่วน เพื่อเพิ่มความสามารถด้านการเชื่อมต่ออย่างมั่นคงปลอดภัย การอัปเกรดแบบไร้สาย การทำ Code Signing และการรองรับ AWS Cloud กลายเป็น Amazon FreeRTOS (a:FreeRTOS) นอกจากนี้ WITTENSTEIN high integrity systems (WHIS) ก็ได้นำ FreeRTOS มาพัฒนาต่อยอดด้วยเช่นเดียวกัน คือ WHIS OpenRTOS สำหรับเชิงพาณิชย์และ SafeRTOS ซึ่งเป็น Safety-oriented RTOS สำหรับใช้ในอุปกรณ์ที่ต้องการความปลอดภัยสูง

สำหรับช่องโหว่บน FreeRTOS ที่ Karliner ค้นพบนั้นมีทั้งสิ้น 13 รายการ ซึ่งส่งผลกระทบบน FreeRTOS และระบบที่พัฒนาโดย Amazon และ WHIS ช่องโหว่เหล่านี้ช่วยให้แฮ็กเกอร์สามารถล่มระบบ ขโมยข้อมูลจากหน่วยความจำ และโจมตีแบบ Remote Code Execution บนเครื่องเป้าหมายได้ เรียกได้ว่าสามารถเข้าควบคุมอุปกรณ์ได้ตามต้องการ อย่างไรก็ตาม Karliner ปฏิเสธที่จะเปิดเผยรายละเอียดของช่องโหว่เป็นระยะเวลา 1 เดือน เพื่อเปิดโอกาสให้หลายๆ บริษัททำการอัปเดตแพตช์

Karliner ได้รายงานช่องโหว่นี้ไปยัง Amazon ซึ่งก็ได้ออกแพตช์ Amazon FreeRTOS เวอร์ชัน 1.3.2 เพื่ออุดช่องโหว่ดังกล่าว (เวอร์ชันล่าสุดคือ 1.4.2) ในขณะที่ WHIS ก็ออกแพตช์เพื่อแก้ปัญหาแล้วเช่นเดียวกัน

รายละเอียดเพิ่มเติม: https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/

ที่มา: https://thehackernews.com/2018/10/amazon-freertos-iot-os.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ซัมซุง เปิดตัว Galaxy Tab Active3 สมาร์ทแท็บเล็ตรุ่นล่าสุด ตอบโจทย์ทุกการทำงานที่ท้าทาย

ซัมซุง ผู้นำด้านนวัตกรรมและเทคโนโลยีระดับโลก เปิดตัว Galaxy Tab Active3 (กาแลคซี่ แท็บ แอคทีฟ3) ต่อยอดความสำเร็จจาก Tab Active รุ่นที่ 2 ที่ถูกออกแบบมาเพื่อรองรับการทำงานที่มีความเสี่ยงได้จากทุกที่ …

เตือน KashmirBlack Botnet เข้าโจมตี CMS หลายแพลตฟอร์ม มีเหยื่อแล้วนับแสนราย

Imperva ได้ออกรายงานเตือนถึงความร้ายแรงใน Botnet ที่ชื่อ ‘KashmirBlack’ กับเจ้าของเว็บไซต์ต่างๆ ซึ่งมีเหยื่อนับแสนรายแล้ว