FreeRTOS: descubre vulnerabilidades críticas

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Un investigador de seguridad ha descubierto varias vulnerabilidades críticas en uno de los sistemas operativos integrados en tiempo real más populares, llamado FreeRTOS, y sus otras variantes, exponiendo una amplia gama de dispositivos IoT y sistemas de infraestructura crítica a los cibercriminales.

¿Qué es FreeRTOS (Amazon, WHIS OpenRTOS, SafeRTOS)?

FreeRTOS es un sistema operativo en tiempo real (RTOS) de código abierto líder para sistemas integrados que se ha portado a más de 40 microcontroladores, que se están utilizando en IoT, en la industria aeroespacial, en la industria médica, automotriz y otros segmentos de mercado.

RTOS ha sido específicamente diseñado para ejecutar aplicaciones cuidadosamente con una sincronización muy precisa y un alto grado de confiabilidad en todo momento.

Un marcapasos es un excelente ejemplo del sistema integrado en tiempo real que contrae el músculo cardíaco en el momento adecuado, un proceso que no puede permitirse retrasos, para mantener viva a una persona.

Desde fines del año pasado, el proyecto FreeRTOS está siendo administrado por Amazon, quien creó el sistema operativo IoT de Amazon FreeRTOS (a: FreeRTOS) para microcontroladores al actualizar el kernel de FreeRTOS y algunos de sus componentes.

Amazon mejoró las funcionalidades de FreeRTOS al agregar módulos para una conectividad segura, actualizaciones por aire, firma de código, soporte en la nube de AWS y más.

Además de Amazon, los sistemas de alta integridad (WHIS) ​​de WITTENSTEIN también mantienen dos variantes de FreeRTOS, una versión comercial de FreeRTOS llamada WHIS OpenRTOS, y un RTOS orientado a la seguridad llamado SafeRTOS, para uso en dispositivos críticos para la seguridad.

Vulnerabilidades y parches de seguridad de FreeRTOS

Ori Karliner, investigadora de seguridad, descubrió un total de 13 vulnerabilidades en la pila TCP / IP de FreeRTOS que también afectan sus variantes mantenidas por Amazon y WHIS, como se muestra a continuación:

freeRTOS

Las vulnerabilidades podrían permitir a los atacantes bloquear el dispositivo de destino, filtrar información de su memoria y, lo que es más preocupante, ejecutar código malicioso de forma remota en él, tomando así el control completo sobre el dispositivo de destino.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris