物聯網操作系統FreeRTOS中發現了13個主要漏洞

原創不易 請隨手點擊關注

本文由Rehoo團隊Leery原創，無授權禁轉！(圖片來自網路）

圖片來自網路

您需要了解的以確保您的物聯網軟體安全。

物聯網（IoT）被譽為第四次工業革命的一個組成部分，將軟體和連接的力量轉移到物理世界。然而，在我們遇到「聰明」未來之前，我們需要記住這些連接的設備面臨重大的安全風險。

我們不斷收到提醒，認為將大腦置於我們的物聯網設備中的軟體可能會在其代碼中隱藏著嚴重的漏洞，使他們容易被黑客利用。

移動安全公司Zimperium的研究人員宣布，他們團隊的一名成員已經確定了FreeRTOS開源項目中的13個漏洞，這是物聯網設備最受歡迎的操作系統之一。該說的CVE研究員大利Karliner翻起了一些真正的doozies，包括漏洞可能導致遠程代碼執行，拒絕服務，信息泄露，和一個這是未定義。雖然這些漏洞尚未獲得CVSS評分，但可以安全地假設它們將處於頻譜的較高端。

根據他們的發布，Zimperium團隊已經聯繫了亞馬遜，後者負責維護FreeRTOS開源項目，提醒他們注意漏洞，並與他們合作為可利用的組件生成補丁。

圖片來自網路

由於需要提醒那些在其產品軟體中使用易受攻擊的FreeRTOS開源組件的利益相關者，研究人員已經預留了帶有MITRE和國家漏洞資料庫（NVD）的CVE，但是扣留了有關如何攜帶的詳細信息。據報道，30天內的攻擊事件使得黑客無法快速輕鬆地獲得工作。

雖然有關這一發現的消息並未獲得我們通常看到的大規模數據泄露的新聞類型，其中用戶數據已落入網路犯罪分子的手中，但這些漏洞應該讓我們密切關注我們如何保護自己的嵌入式設備。

物聯網的未來將建立在開源之上

即使您之前沒有聽說過FreeRTOS，因為它比Apache軟體基金會或開源領域的其他大公司的項目更少被討論，很可能您使用的這種廣受歡迎的操作系統的設備。

圖片來自網路

部分由於空間限制以及我們不需要全面操作系統功能的事實，物聯網設備使用更輕量級的操作系統，例如由AWS或Linux專門設計的物聯網操作系統支持的FreeRTOS。

開源在物聯網中的作用是，大多數生產設備的供應商都像開發軟體的任何其他組織一樣，他們希望使用高質量的現成組件來減少團隊所需的代碼量。生產以釋放功能性產品。開源組件允許他們為他們的應用程序添加強大的功能，否則他們必須自己編寫。

此外還有一個額外的優勢，即開放源代碼組件可以在其許可證的限制範圍內免費使用，從而為這些硬體公司節省了大量成本，否則這些公司將不得不支付商業軟體產品的費用或更多的編碼時間。對於在編寫軟體方面經驗和能力最低的公司而言，轉向開源軟體解決方案可以成為一個讓他們進入這個非常誘人的市場的福音。但是，正如我們在披露這些漏洞時所看到的那樣，保持物聯網安全是項非常艱巨的任務。

為什麼物聯網安全面臨不同的挑戰

我們的設備變得聰明的是它們嵌入了連接到互聯網的小型計算機。正是這種連接使得設備和後端之間的通信流能夠收集數據並幫助用戶更有效地執行某些操作。這些設備本質上是我們在手機或網路上的應用程序的物理表現。

從安全形度來看，黑客可以像利用台式計算機這樣的傳統端點設備一樣攻擊設備。這意味著，通過正確的漏洞，他們可以接管，訪問數據，壓倒數據或執行其他類型的惡意活動。但是，與台式計算機不同，需要考慮一些關鍵差異。

首先，在工業設施中違反物聯網設備可能會產生一些非常現實的影響。正如我們在Equifax案例中看到的那樣，數據泄漏很糟糕，對公司來說可能會造成嚴重破壞。

離心控制失控，電網離線，以及無數其他現實世界的安全問題完全是另一回事，當我們考慮想要製作數字產品時，應該讓我們停下來。許多物聯網設備收集了大量關於我們的數據，這些數據非常敏感。我們可能不希望世界了解我們的健康，日程安排或其他習慣，而這些可能會讓您感到非常不安。

其次，物聯網設備及其軟體通常不能像筆記本電腦或移動設備那樣受到良好的網路攻擊保護。像蘋果，微軟和戴爾這樣的公司在學習如何讓他們的設備和軟體更難以破解方面擁有多年的經驗。

圖片來自網路

事實是，許多消費者不願意為他們購買的設備支付更好的安全性，而且供應商只是想降低成本。其實安全性才是最重要的。

最後，確保對受影響的設備實施補丁或其他修復非常困難。因為有這麼多供應商使用相同的組件，單個漏洞的影響 可能是巨大的。如果可以進行這樣的處理，那麼修補這些設備的成本可能非常高。

控制您的應用程序安全性

雖然我們希望在整個軟體開發生命周期（SDLC）中保護您的產品，同時也希望儘可能早地實施良好的安全實踐。首先要遵守OWASP的建議，以避免使用已知漏洞的第三方組件。

對於開源組件，只有軟體組合分析（SCA）工具可以識別具有與之關聯的漏洞的開源組件，即使其中一個依賴項中存在深層漏洞。能夠在開發過程的早期捕獲風險較大的開源組件，可以更容易，更快速地獲得更安全的產品。

假設在部署後的產品中會發現新的漏洞，根據開源漏洞管理報告的狀態，在97.4％的案例中，有一個可用的修復程序。儘管將補丁推送到設備可能會有很多麻煩，但這仍然遠比讓客戶在受到黑客攻擊更好。

圖片來自網路

許多公司面臨的問題是，他們根本不知道他們的產品中包含哪些開源組件，更不用說可能影響其產品的新漏洞已經發布。

與Windows一樣，通過單一渠道定期發送補丁的商業產品不同，開源社區是相當分散的，這使得難以掌握它們。這是高級SCA工具可以拯救的地方，因為它可以在開源組件進入產品或存儲庫時自動識別和清點開源組件，並且能夠匹配在各種資料庫上發布的新發現的漏洞。像NVD這樣的建議。這些警報可以幫助公司在黑客面前領先一步，在黑客利用這些漏洞資料庫獲取有關哪些組件易受攻擊以及如何攻擊之前，及時進行補救。

根據一些估計，物聯網將在未來幾年內成為更具統治力的力量。思科預測到2020年，物聯網設備的數量將增加到約500億。

希望這些漏洞的發現將激發對用於物聯網的開源組件的更多研究，從而幫助我們的設備更加安全。發現漏洞是開發過程中的一個健康部分，只是對話的開始。尋求證明自己可以成為負責任的參與者的供應商的問題是他們如何選擇實施安全性。現在，由生產物聯網產品的公司採用工具和最佳實踐來保持與該市場的相關性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！