Sicherheitslücke in Amazon FreeRTOS IoT-Betriebssystem

Von Amazon gibt es ein Betriebssystem für IoT-Geräte, FreeRTOS. In diesem Betriebssystem wurde jetzt eine gravierende Schwachstelle gefunden.

Hintergrund zu FreeRTOS

FreeRTOS ist ein Open-Source-Echtzeitbetriebssystem (RTOS) für eingebettete Systeme, das auf über 40 Mikrocontroller portiert wurde, die in der IoT-, Luftfahrt-, Medizin-, Automobil- und anderen Branchen eingesetzt werden. RTOS wurde speziell für den Betrieb von Anwendungen mit sehr präzisem Timing und einem hohen Maß an Zuverlässigkeit entwickelt.

Seit Ende letzten Jahres wird das FreeRTOS-Projekt von Amazon geleitet. Das Unternehmen hat das Amazon FreeRTOS (a:FreeRTOS) IoT-Betriebssystem für Mikrocontroller durch ein Upgrade des FreeRTOS-Kernels und einiger seiner Komponenten entwickelt.

Neben Amazon pflegt auch WITTENSTEIN High Integrity Systems (WHIS) zwei Varianten von FreeRTOS – eine kommerzielle Version von FreeRTOS namens WHIS OpenRTOS und ein sicherheitsorientiertes RTOS namens SafeRTOS für den Einsatz in sicherheitskritischen Geräten.

Sicherheitlücken in FreeRTOS

Ein Sicherheitsforscher von Zimperium hat mehrere (13) kritische Schwachstellen in FreeRTOS und seinen anderen Varianten entdeckt. Durch diese Schwachstellen sind eine Vielzahl von IoT-Geräten und Systemen kritischer Infrastrukturen für Hackern angreifbar.

Die Schwachstellen wurden an Amazon gemeldet, welches Patches wurden für AWS FreeRTOS Versionen 1.3.2 und höher bereitgestellt hat. Zimperium erhielt auch die Bestätigung von WHIS, dass sie den gleichen Schwachstellen ausgesetzt waren, und diese wurden zusammen mit Amazon gepatcht. Ein weiterer Beitrag zum Thema findet sich auch hier. (via)