Es befinden sich 13 Sicherheitslücken im Open-Source-Echtzeitbetriebssystem FreeRTOS. Setzen Angreifer an den Schwachstellen an, könnten sie Informationen abziehen, Geräte lahmlegen (DoS-Attacke) oder sogar aus der Ferne Schadcode ausführen.

FreeRTOS ist mit vielen Prozessorarchitekturen kompatibel und es gibt es für verschiedene Mikrocontroller. Neben Fitness-Trackern, Türschlössern und weiteren IoT-Geräten kommt das System beispielsweise auch in Form von etwa Sensoren in kritischen Infrastrukturen zum Einsatz. Somit sind durch die Sicherheitslücken unzählige Systeme und Geräte angreifbar.

Sicherheitsforscher von Zimperium schildern in einem Blog-Beitrag im Detail wo sich die Schwachstellen im TCP/IP-Stack des Systems befinden. Die Varianten AWS FreeRTOS bis einschließlich Ausgabe 1.3.1 und WHIS OpenRTOS und SafeRTOS mit WHIS Connect Middleware TCP/IP-Komponenten sollen neben FreeRTOS bis einschließlich Version 10.0.1 ebenfalls gefährdet sein.

Die betroffenen Anbieter wissen Zimperium zufolge über die Lücken Bescheid und AWS FreeRTOS ist mittlerweile in der abgesicherten Version 1.3.2 erschienen. WHIS soll ebenfalls an einer gepatchten Ausgabe arbeiten. In FreeRTOS wurden die Lücken in der Ausgabe 10.1.0 von den Entwicklern geschlossen.

Im November wollen die Sicherheitsforscher weitere Details zu den Schwachstellen und möglichen Angriffsszenarien veröffentlichen. Sie wollen Betroffenen damit Zeit zum Patchen geben.

Es ist allerdings utopisch, dass alle Anbieter innerhalb von einem Monat nach Bekanntwerden der Lücken die Sicherheitsupdates auf allen betroffenen Geräten installiert haben werden, da das Echtzeitbetriebssystem auf unzähligen Embedded-Systemen und IoT-Geräten läuft. Zudem ist es aufgrund des fragmentierten Einsatzes fraglich, ob das flächendeckend jemals der Fall sein wird.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE