Problèmes critiques détectés dans le système d’exploitation Amazon FreeRTOS IoT

Un chercheur en sécurité a découvert plusieurs vulnérabilités critiques dans l’un des systèmes d’exploitation temps réel embarqués les plus populaires, appelé FreeRTOS.

Et ses variantes, exposant une vaste gamme de dispositifs IoT et de systèmes d’infrastructure critiques à des pirates informatiques.

Qu’est-ce que FreeRTOS (Amazon, WHIS OpenRTOS, SafeRTOS) ?

FreeRTOS est un système d’exploitation en temps réel (RTOS) open source de premier plan pour systèmes embarqués. Il a été porté par plus de 40 microcontrôleurs et est utilisé dans les industries IoT, aérospatiale, médicale et automobile, etc.

RTOS a été spécialement conçu pour exécuter avec soin des applications avec une synchronisation très précise et un degré de fiabilité élevé, à chaque fois.

Un stimulateur cardiaque est un excellent exemple du système intégré en temps réel qui contracte le muscle cardiaque au bon moment, un processus qui ne peut se permettre de retarder, pour maintenir une personne en vie.

Depuis la fin de l’année dernière, le projet FreeRTOS est géré par Amazon, qui a créé le système d’exploitation Amazon FreeRTOS (a : FreeRTOS) pour microcontrôleurs en mettant à niveau le noyau FreeRTOS et certains de ses composants.

Amazon a amélioré les fonctionnalités de FreeRTOS en ajoutant des modules pour la connectivité sécurisée, des mises à jour à distance, la signature de code, la prise en charge du cloud AWS, etc.

Outre Amazon, les systèmes à haute intégrité WITTENSTEIN (WHIS) ​​conservent également deux variantes de FreeRTOS : une version commerciale de FreeRTOS appelée WHIS OpenRTOS et un RTOS axé sur la sécurité appelé SafeRTOS., pour une utilisation dans des dispositifs critiques pour la sécurité.

Vulnérabilités de FreeRTOS et correctifs de sécurité

Ori Karliner, chercheur en sécurité chez Zimperium Security Labs (zLabs), a découvert un total de 13 vulnérabilités dans la pile TCP / IP de FreeRTOS qui affectent également ses variantes gérées par Amazon et WHIS, comme indiqué ci-dessous :

Ces vulnérabilités pourraient permettre à des attaquants de planter le périphérique cible, de fuir des informations de sa mémoire, et, le plus inquiétant, d’exécuter à distance du code malveillant sur celui-ci, prenant ainsi le contrôle intégral du périphérique cible.

"Au cours de notre recherche, nous avons découvert plusieurs vulnérabilités dans la pile TCP / IP de FreeRTOS et dans les modules de connectivité sécurisée AWS. Les mêmes vulnérabilités sont présentes dans le composant TCP / IP de WHIS Connect pour OpenRTOS \ SafeRTOS", a déclaré le chercheur.

Selon le chercheur, les vulnérabilités concernent les versions FreeRTOS jusqu’à 10.0.1 (avec FreeRTOS + TCP), AWS FreeRTOS jusqu’à 1.3.1 et WHIS OpenRTOS et SafeRTOS (avec les composants TCP / IP de middleware WHIS Connect).

Zimperium a signalé de manière responsable les vulnérabilités à Amazon et la société a déployé hier des correctifs de sécurité pour AWS FreeRTOS versions 1.3.2 et ultérieures (dernière version 1.4.2).

"Nous avons également reçu la confirmation de WHIS qu’ils avaient été exposés aux mêmes vulnérabilités, qui ont été corrigées avec Amazon", a déclaré zLabs.

Pour permettre aux petits fournisseurs de corriger les problèmes avant que les pirates ne tentent de les exploiter, zLabs a décidé de ne pas divulguer au public les détails techniques de ces vulnérabilités pendant au moins un mois.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image