200 milhões de dispositivos vulneráveis por falha no VxWorks

A empresa de segurança Armis descobriu falhas críticas no sistema operativo VxWorks, dedicado a dispositivos industriais em funcionamento contínuo e à Internet of Things.

Apesar de não ser um sistema operativo conhecido comercialmente, serve a dispositivos como webcams, switches de rede, routers, firewalls, telefones VoIP, impressoras, equipamentos de videoconferência, semáforos, bem como sistemas de missão crítica como SCADA, comboios, elevadores e controladores industriais, monitores de pacientes médicos, equipamentos de ressonância magnética, modems de satélite, Wi-Fi em voos ou braços robóticos.

A Armis identificou 200 milhões de dispositivos potencialmente vulneráveis à falha, mas a Wind River, empresa detentora do VxWorks, acha o número exagerado: “os impactados por estas vulnerabilidades são apenas uma pequena parte dos nossos clientes, e incluem sobretudo dispositivos empresariais que utilizam a internet, como modems, routers, impressoras, bem como alguns equipamentos médicos e industriais – a Armis fala em 200 milhões mas, com base nos clientes impactados, não é um número confirmado e acreditamos que não é fidedigno”.

São 11 vulnerabilidades encontradas pela empresa de cibersegurança, das quais seis são consideradas críticas. Ainda não existem registos de alguma ter sido explorada, mas caso venham a ser poderão comparar-se à escala da vulnerabilidade EternalBlue do Windows, que permitiu o ataque WannaCry.

As vulnerabilidades têm um nome coletivo, URGENT/11 (por terem sido encontradas 11), e residem na stack de rede IPnet TCP/IP do RTOS incluído na versão 6.5 do VxWorks. Todas as versões dos últimos 13 anos são, à partida, vulneráveis, mas não a todas as 11 falhas.

Os especialistas em segurança da Armis consideram que a resolução do problema será demorada, e preveem que a Wind River tenha de criar um novo sistema operativo para os dispositivos vulneráveis, não sendo possível “desligar” as linhas de produto dos sistemas de missão crítica.