2019-7-30

SEGURANÇA

200 milhões de dispositivos vulneráveis por falha no VxWorks

São mais de 2 mil milhões de dispositivos a utilizarem o sistema operativo VxWorks, em equipamentos médicos, controladores de elevadores, modems de satélite e outros. 200 milhões destes dispositivos estão vulneráveis

A empresa de segurança Armis descobriu falhas críticas no sistema operativo VxWorks, dedicado a dispositivos industriais em funcionamento contínuo e à Internet of Things.

Apesar de não ser um sistema operativo conhecido comercialmente, serve a dispositivos como webcams, switches de rede, routers, firewalls, telefones VoIP, impressoras, equipamentos de videoconferência, semáforos, bem como sistemas de missão crítica como SCADA, comboios, elevadores e controladores industriais, monitores de pacientes médicos, equipamentos de ressonância magnética, modems de satélite, Wi-Fi em voos ou braços robóticos.

A Armis identificou 200 milhões de dispositivos potencialmente vulneráveis à falha, mas a Wind River, empresa detentora do VxWorks, acha o número exagerado: “os impactados por estas vulnerabilidades são apenas uma pequena parte dos nossos clientes, e incluem sobretudo dispositivos empresariais que utilizam a internet, como modems, routers, impressoras, bem como alguns equipamentos médicos e industriais – a Armis fala em 200 milhões mas, com base nos clientes impactados, não é um número confirmado e acreditamos que não é fidedigno”.

São 11 vulnerabilidades encontradas pela empresa de cibersegurança, das quais seis são consideradas críticas. Ainda não existem registos de alguma ter sido explorada, mas caso venham a ser poderão comparar-se à escala da vulnerabilidade EternalBlue do Windows, que permitiu o ataque WannaCry.

As vulnerabilidades têm um nome coletivo, URGENT/11 (por terem sido encontradas 11), e residem na stack de rede IPnet TCP/IP do RTOS incluído na versão 6.5 do VxWorks. Todas as versões dos últimos 13 anos são, à partida, vulneráveis, mas não a todas as 11 falhas.

Os especialistas em segurança da Armis consideram que a resolução do problema será demorada, e preveem que a Wind River tenha de criar um novo sistema operativo para os dispositivos vulneráveis, não sendo possível “desligar” as linhas de produto dos sistemas de missão crítica.

Recomendado pelos leitores

A informação da sua empresa está segura?
SEGURANÇA

A informação da sua empresa está segura?

LER MAIS

RGPD: Presidente da República já promulgou lei nacional
SEGURANÇA

RGPD: Presidente da República já promulgou lei nacional

LER MAIS

VIVOTEK Segurança dentro da segurança
SEGURANÇA

VIVOTEK Segurança dentro da segurança

LER MAIS

IT CHANNEL Nº 59 JULHO 2019

IT CHANNEL Nº 59 JULHO 2019

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.