O FreeRTOS, o sistema operacional de código aberto que adere a maioria dos pequenos microprocessadores e microcontrolares em residências inteligentes e sismas de infraestrutura de alto nível, possui 13 vulnerabilidades, um terço delas permitem a execução remota de código.
As vulnerabilidades estão em torno do TCP/IP e afetam a derivação do FreeRTOS mantida pela Amazon e os OpenRTOS e SafeRTOS mantidos pelos sistemas de alta integridade WITTENSTEIN (WHIS), que são variantes para produtos comerciais disponíveis sob a licença do MIT.
Sobre as 13 vulnerabilidades descobertas
Ori Karliner, da Zimperium, analisou o sistema operacional e descobriu que todas as suas variedades são vulneráveis a quatro bugs de execução de remota de código, uma negação de serviço, sete vazamentos de informações e outros tipos de problemas de segurança que não foram informados.
As versões afetadas são FreeRTOS até a versão 10.0.1 (com FreeRTOS + TCP), AWS FreeRTOS e SafeRTOS (com componentes TCP/IP de middleware WHIS Connect).
A Amazon foi notificada da situação e a empresa respondeu dizendo que está liberando correções para contornar as devidas falhas.
A Zimperium não divulgou nenhum detalhe técnico até o momento.
“Para permitir que os fornecedores menores consertem as vulnerabilidade”, informa um relatório da empresa. O tempo de espera expira em 30 dias.
Principal escolha de sistemas embarcados
O FreeRTOS é um microkernel de sistema operacional em tempo real que foi desenvolvido por empresas de chips por mais de 15 anos e é a principal escolha feita pelas fabricantes para seus dispositivos embarcados.
Suporta mais de 40 plataformas de hardware e fornecendo microcontroladores e vários outros produtos: monitores de temperatura, eletrodomésticos, sensores, rastreadores fitness, sistemas de automação industrial, carros, fechaduras, medidores de eletricidade e quaisquer dispositivos baseados em microcontroladores.
Como o FreeRTOS funciona em uma escala menor de componentes, ele não possui a complexidade que acompanha a elaboração do hardware. No entanto, cumpre uma fução importante, pois permite o processamento de dados à medida que eles chegam.
Há cerca de um ano, a Amazon decidiu envolver-se no desenvolvimento do produto para o segmento de ioT. A empresa extendeu o kernel adicionando bibliotecas para oferecer suporte a conectividade de nuvem, segurança e atualizações via OTA.
Precisa de mais informações sobre a vulnerabilidade? Confira o conteúdo extra abaixo:
[button href=”https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/” type=”btn-default” size=”btn-lg”]Relatório Zimperium[/button]
