Yhdysvalloissa kohistaan nyt URGENT/11-nimen saaneista haavoittuvuuksista. Kyseessä eivät ole Windowsin tai Linuxin aukot, vaan bugit VxWorks-nimisen käyttöjärjestelmän tcp/ip-toteutuksessa.

Asiasta kertoo Wired.

Haavoittuvaksi todetun koodin kehitti alunperin Interpeak. Sen IPnet-nimistä toteutusta on lisensoitu vuosien saatossa useille eri yrityksille. Vuonna 2006 VxWorksin takana oleva Wind River osti Interpeakin, jonka jälkeen IPnetistä tuli olennainen osa VxWorksia. Samalla ennen yrityskauppoja IPnet-lisenssin ostaneet tahot jäivät päivitysten suhteen oman onnensa nojaan.

Useat eri yhtiöt ovat hyödyntäneet joko VxWorksia tai aiemmin Interpeakilta lisensoitua IPnet-koodia laitteissaan. Esimerkiksi Becton Dickinson Alariksen infuusiopumpusta löytyy IPnet - ja sen myötä tietoturva-aukkoja.

Pumpun valmistajan testien mukaan tilanne ei kuitenkaan ole niin paha kuin miltä tietoturva-aukko sairaalalaitteessa äkkiseltään kuulostaa. Vaikka pahantahtoinen hakkeri pääsisikin tunkeutumaan verkon yli pumppuun, ei menossa oleviin toimenpiteisiin pystyisi vaikuttamaan mitenkään. Ennen seuraavan hoitokerran aloittamista pumppu vain pitäisi resetoida. Lisäksi laite reagoisi hyökkäysyritykseen vilkuttamalla valojaan ja soittamalla hälytysääntä.

Kaikkien laitteiden kohdalla tilanne ei kuitenkaan ole välttämättä näin hyvä, vaan hakkerit saattavat URGENT/11-haavoittuvuuksien avulla päästä hyökkäämään niihin huomaamatta. Tilanteen tekee erityisen hankalaksi se, että ei ole tiedossa mitkä kaikki laitteet kärsivät haavoittuvuudesta - ja vaikka se saataisiinkin selvitettyä, on monien laitteiden päivitys hankalaa.

”Päivitysmekanismia ei ylipäänsä välttämättä ole, tai se on hyvin hankala prosessi, ja vaatii suunnilleen ruuvimeisselin käyttöä. Laitteita ei voi päivittää helposti kerralla päivittää turvallisempaan käyttöjärjestelmäversioon. En tiedä saadaanko kaikkia bugeista kärsiviä laitteita ikinä korjattua”, toteaa Wiredille Armis-tietoturvayhtiön tutkimusjohtaja Ben Seri.

Toistaiseksi haavoittuvuus on löytynyt joistakin sairaalalaitteista, kameroista, tulostimista, reitittimistä, wifi-laitteista ja jopa Panasonicin video-ovikellosta. VxWorks-käyttöjärjestelmän lisäksi tutkijat ovat löytäneet saman aukon kuudesta eri iot-laitteissa käytetystä reaaliaikakäyttöjärjestelmästä. Nämä ovat ENEA-yhtiön OSE, Green Hillsin INTEGRITY, ITRON, Microsoftin ThreadX, Mentor Nucleus RTOS ja zebOS.

Microsoft on julkaissut asiasta oman tiedotteensa, jonka mukaan sen ThreadX-käyttöjärjestelmä hyödyntävät laitteet eivät ole haavoittuvia. ThreadX ei ole Microsoftin oman kehitystyön tulos, vaan käyttöjärjestelmä päätyi sen haltuun huhtikuussa solmitussa Express Logic -yrityskaupassa. Samaa lupaa myös Siemensin omistama Mentor omasta Nucleus RTOS -järjestelmästään.

Armis on julkaissut Python-työkalun, jolla omien laitteiden mahdollinen URGENT/11-aukko on helposti löydettävissä. Työkalu on vapaasti ladattavissa GitHubista. Tarkempaa tietoa aukoista löytyy Wind Riverin omasta asiaa käsittelevästä julkaisusta.

Lähde: Tivi