Kriittisiä haavoittuvuuksia FreeRTOS-käyttöjärjestelmissä

Avoimeen lähdekoodiin perustuvan FreeRTOS-reaaliaikakäyttöjärjestelmän yrtimestä on löydetty lukuisia kriittisiä haavoittuvuuksia. Haavoittuvuudet koskevat käyttöjärjestelmän TCP/IP-toteutusta, josta on löydetty yhteensä 13 haavoittuvuutta. Niiden avulla voi suorittaa ohjelmakoodia laitteessa, aiheuttaa palvelunestotilan sekä saada laitteessa olevia tietoja haltuun.

Haavoittuvaa FreeRTOS-käyttöjärjestelmän TCP/IP-toteutusta (Freetos+TCP) käyttää ilmainen Amazon FreeRTOS. Kaupallisella puolella WITTENSTEIN high integrity systems -yhtiön ylläpitämien SafeRTOS sekä OpenRTOS -käyttöjärjestelmien käyttämä WHIS Connect TCP/IP -komponentti on myös haavoittuva. Julkisuudessa esiintyneiden tietojen mukaan näitä käyttöjärjestelmiä hyödynnetään yleisesti mm. kulutuselektroniikassa, IoT-laitteissa, lääkinnällisissä laitteissa, ilmailussa ja autoteollisuudessa.

Haavoittuvuus on korjattu elokuussa julkaistussa Amazon FreeRTOS versiossa 1.32. WHIS-yhtiön SafeRTOS ja OpenRTOS -käyttöjärjestelmissä haavoittuvuus on korjattu TCP/IP -komponentin versiossa OpenRTOS TCP/IP v 2.0.1. Yhtiön tiedotteen mukaan asiakkaat jo ovat saaneet tai tulevat saamaan päivitetyn version käyttöönsä lähitulevaisuudessa.

Suosittelemme käymään omat tuotteenne läpi ja päivittämään FreeRTOS-käyttöjärjestelmän uusimpaan versioon. Jos päivittäminen ei ole mahdollista, suosittelemme ottamaan käyttöön muita suojautumismenetelmiä kuten verkkoliikenteen rajoittamista haavoittuvuuksien hyväksikäytön estämiseksi.

Toistaiseksi Kyberturvallisuuskeskuksen tiedossa ei ole, että haavoittuvuuksia olisi pyritty käyttämään hyväksi tai että niihin löytyisi valmiita hyödyntämismenetelmiä. Haavoittuvuuden yksityskohdat tullaan kuitenkin julkaisemaan haavoittuvuuden löytäjien toimesta tämän hetkisen tiedon valossa marraskuun puolivälissä. Tämän jälkeen haavoittuvuuden hyödyntäminen on huomattavasti todennäköisempää.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • FreeRTOS V10.0.1 (with FreeRTOS+TCP) ja aiemmat versiot
  • AWS FreeRTOS V1.3.1 ja aiemmat versiot
  • WHIS OpenRTOS ja SafeRTOS (WHIS Connect TCP/IP -komponentin versio OpenRTOS TCP/IP v 2.0.1)

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä AWS FreeRTOS versioon 1.3.2 tai sitä uudempaan
  • Päivitä FreeRTOS versioon V10.1.0 tai sitä uudempaan
  • Päivitä WHIS OpenRTOS ja SafeRTOS -käyttöjärjestelmien TCP/IP -komponentti versioon OpenRTOS TCP/IP v 2.0.7 - ota yhteyttä valmistajaan saadaksesi päivityksen.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248