۱۱ آسیبپذیری در VxWorks کشف شده است که ۶ مورد از این آسیبپذیریها، بحرانی هستند و به اجرای کد از راه دور منجر میشوند
بنا به اعلام پژوهشگران امنیتی، یازده آسیبپذیری، طیف گستردهای از دستگاهها و سیستمها از جمله مسیریابها، سیستمهای پزشکی، چاپگرها، تجهیزات صنعتی، SCADA، کنترلکنندههای صنعتی، دیوارآتش، مودمهای ماهوارهای، آسانسورها، تلفنهای VOIP و سیستمهای مشابه را تحت تأثیر قرار میدهند.
براساس اطلاعات وبسایت Wind River، این سیستمعامل روی بیش از دو میلیارد دستگاه قرار دارد.
سیستمعاملهای بیدرنگ، RTOS که شرکت Wind River آن را ایجاد کرده است، قطعات نرمافزاری ساده با ویژگیهای کمی هستند که روی چیپستهایی با دسترسی محدود به منابع استفاده میشوند.
یکی از کاربردهای این چیپستها در دستگاههای اینترنت اشیا IOT است که در آنها از این چیپستها تنها برای مدیریت عملیاتهای ورودی/خروجی با پردازش داده کم و بدون نیاز به رابط بصری استفاده میشود.
این آسیبپذیریها تمامی نسخههای VxWorks RTOS از ۶،۵ به بعد را تحت تاثیر قرار میدهند.
برخی از این آسیبپذیریها قابل بهرهبرداری از طریق اینترنت هستند، اما مهاجمان برای سوء استفاده از برخی دیگر، نیاز به دسترسی شبکه دارند.
برخی از آسیبپذیریها در بعضی از دستگاهها اهمیت بیشتری دارند. برای مثال در صورت نفوذ به یک دستگاه مسیریاب یا دیوارآتش که VxWorks را اجرا میکند، دسترسی به تمامی دستگاههای شبکه خصوصی آن دستگاه فراهم میشود، اما این آسیبپذیری در یک PLC صنعتی که به اینترنت متصل نباشد خطر کمتری دارد و شانس کمی برای مهاجم برای سوء استفاده از نقص امنیتی وجود دارد.
بنا به اعلام کارشناسان معاونت بررسی مرکز افتا، وصلههای مربوط به این آسیبپذیریها که به اختصار "Urgent۱۱" نامیده شده است، در ۲۵ تیر ماه گذشته منتشر شدهاند و نسخه آخر VxWorks ۷ (SR۶۲۰ تحت تاثیر آسیبپذیریها قرار ندارد.