2019-7-30

SEGURANÇA

200 milhões de dispositivos vulneráveis por falha no VxWorks

São mais de 2 mil milhões de dispositivos a utilizarem o sistema operativo VxWorks, em equipamentos médicos, controladores de elevadores, modems de satélite e outros. 200 milhões destes dispositivos estão vulneráveis

A empresa de segurança Armis descobriu falhas críticas no sistema operativo VxWorks, dedicado a dispositivos industriais em funcionamento contínuo e à Internet of Things.

Apesar de não ser um sistema operativo conhecido comercialmente, serve a dispositivos como webcams, switches de rede, routers, firewalls, telefones VoIP, impressoras, equipamentos de videoconferência, semáforos, bem como sistemas de missão crítica como SCADA, comboios, elevadores e controladores industriais, monitores de pacientes médicos, equipamentos de ressonância magnética, modems de satélite, Wi-Fi em voos ou braços robóticos.

A Armis identificou 200 milhões de dispositivos potencialmente vulneráveis à falha, mas a Wind River, empresa detentora do VxWorks, acha o número exagerado: “os impactados por estas vulnerabilidades são apenas uma pequena parte dos nossos clientes, e incluem sobretudo dispositivos empresariais que utilizam a internet, como modems, routers, impressoras, bem como alguns equipamentos médicos e industriais – a Armis fala em 200 milhões mas, com base nos clientes impactados, não é um número confirmado e acreditamos que não é fidedigno”.

São 11 vulnerabilidades encontradas pela empresa de cibersegurança, das quais seis são consideradas críticas. Ainda não existem registos de alguma ter sido explorada, mas caso venham a ser poderão comparar-se à escala da vulnerabilidade EternalBlue do Windows, que permitiu o ataque WannaCry.

As vulnerabilidades têm um nome coletivo, URGENT/11 (por terem sido encontradas 11), e residem na stack de rede IPnet TCP/IP do RTOS incluído na versão 6.5 do VxWorks. Todas as versões dos últimos 13 anos são, à partida, vulneráveis, mas não a todas as 11 falhas.

Os especialistas em segurança da Armis consideram que a resolução do problema será demorada, e preveem que a Wind River tenha de criar um novo sistema operativo para os dispositivos vulneráveis, não sendo possível “desligar” as linhas de produto dos sistemas de missão crítica.

Recomendado pelos leitores

Canalys distingue os principais fornecedores de cibersegurança
SEGURANÇA

Canalys distingue os principais fornecedores de cibersegurança

LER MAIS

Uma sociedade cashless ameaçada por ciberataques?
SEGURANÇA

Uma sociedade cashless ameaçada por ciberataques?

LER MAIS

Investimentos em cibersegurança impulsionados por trabalho remoto
SEGURANÇA

Investimentos em cibersegurança impulsionados por trabalho remoto

LER MAIS

IT CHANNEL Nº 68 JUNHO 2020

IT CHANNEL Nº 68 JUNHO 2020

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.