Quando falamos de bugs afetando sistemas operacionais, muitas vezes ouvimos sobre o Windows e o Android, às vezes com o iOS e, de tempos em tempos, até mesmo com o Linux. Raramente ao RTOS, abreviatura de Sistemas Operacionais em Tempo Real, obtenha qualquer cobertura. Um RTOS, no entanto, é usado em muitos sistemas críticos de computadores em setores críticos, que grandes falhas de segurança podem revelar-se catastróficas. Aparentemente, isso é o que enfrenta os usuários de equipamentos que são executados no VxWorks e que foram relatados como tendo nada menos que 11 vulnerabilidades de dia zero existentes nos últimos 13 anos.
Eles podem não receber tanta atenção da mídia, mas RTOS são os trabalhadores silenciosos dos equipamentos eletrônicos do mundo. . Eles são o software da unidade de tudo, desde modems para elevadores para máquinas de ressonância magnética. A lista de clientes do VxWorks, especificamente, é quem é quem na indústria, incluindo Xerox, NEC, Samsung, Ricoh e muito mais. Isso só torna esses 11 bugs ainda mais críticos.
A equipe de pesquisa de segurança da IoT, Armis, chama essas vulnerabilidades de forma coletiva como a URGENT / 11 para enfatizar o quanto é importante para os proprietários atualizar suas máquinas o mais rápido possível. Estes também não são bugs pequenos. Seis deles são marcados como críticos porque permitem a execução remota de código. Os outros cinco não são menos letais, pois podem conceder acesso a invasores sem interação do usuário. Eles podem até, ironicamente, ignorar dispositivos de segurança como firewalls e NATs que o próprio VxWorks desenvolve.
Apesar do nome aparentemente cômico, Armis está aumentando os alarmes por causa do risco significativo para os dispositivos. Os pesquisadores apresentam três cenários em que os invasores podem vir de dentro ou de fora da rede. Um deles envolve atacar a própria segurança da rede. Armis afirma que os setores industrial e de saúde são os que mais correm risco, devido ao uso extensivo de dispositivos que executam o VxWorks.
A boa notícia é que os criadores do VxWorks Wind River já corrigiram os buracos no último VxWorks 7 lançado em 19 de julho. A má notícia é que os dispositivos que usam o RTOS não podem simplesmente aplicar a atualização de software como você faria em um telefone.
