Operační systém VxWorks společnosti Wind River má 11 bezpečnostních chyb, které mohou využít potenciální útočníci. Že tento systém neznáte? Podle jeho výrobce jej využívá kolem dvou miliard zařízení. Patří mezi ně routery, modemy, tiskárny, VoIP telefony, ale třeba i IoT zařízení nebo dokonce výtahy.
Bezpečnostní nedostatky objevili výzkumníci z Armis Labs a podle nich se mohou týkat až 200 milionů zařízení, které využívají tento operační systém od roku 2006.
To je bohužel dost dlouhá doba na to, aby si řada majitelů přístrojů s instalovaným operačním systémem VxWorks vůbec uvědomila, že nějaké takové zařízení má. Velká práce tak čeká především výrobce těchto zařízení, kteří by měli svým zákazníkům pomoci s aktualizací a opravami, pokud vůbec ještě fungují (platí pro výrobky i výrobce).
Asi polovina nalezených chyb je označována jako kritická a může vést až ke vzdálenému spuštění libovolného programu. Problém je s TCP/IP zásobníkem (IPnet). Útočníci by mohli využít chyby k převzetí kontroly nad postiženými zařízeními prostřednictvím zásobníku TCP/IP bez toho, aby to vyžadovalo nějakou interakci uživatele.
Společnost Armis Labs problémy shrnula pod označením Urgent/11 a nabízí i hrubý přehled zařízení, kde se může operační systém s některou z nalezených chyb nacházet. Jsou mezi nimi i takové značky jako ABB, Kyocera, NEC, Ricoh, Samsung, Siemens, Xerox a další. Operační systém byl využit i na vozítku v rámci marsovské mise InSght v roce 2018.
I tento příklad ukazuje, jak se stále rozšiřující oblast chytrých zařízení, která mohou být připojena k internetu, stává bezpečnostní tikající bombou.
