EDICIóN GENERAL
181 meneos
1941 clics
Vulnerabilidades críticas encontradas en VxWorks RTOS, utilizado por 2 mil millones de dispositivos

Vulnerabilidades críticas encontradas en VxWorks RTOS, utilizado por 2 mil millones de dispositivos

Los investigadores de seguridad de Armis, descubrieron casi 12 vulnerabilidades de día cero en VxWorks, uno de los sistemas operativos en tiempo real (RTOS) más utilizados para dispositivos integrados que alimenta a más de 2 mil millones de dispositivos en la industria aeroespacial, de defensa, industrial, médica, automotriz y de consumo, redes y otras industrias críticas.

| etiquetas: vxworks , vulnerabilidades , seguridad cibernetica , rtos
Lo grave grave no es que los IoT sean vulnerables, eso era de esperar (cientos de cacharros de su padre y de su madre conectados online pos seguro que alguno cae) lo jodido es que avanzamos encantados hacia un paradigma en el que esos cacharros tienen acceso a sistemas críticos haciendo de puerta de entrada.

Y ni Dios se rasga las vestiduras, toda la comunicación empresarial abrazando el "permite la conectividad masiva para el IoT"
#1 Más jodido aún es que nunca serán actualizados. Y no es tan grave que te vayan a grabar desparramado en el sofá viendo televisión sino que utilizan esos dispositivos para lanzar ataques a otras partes.
#4 O para minar, a saber la de routers, neveras, televisiones "Smart TV" y demás cacharros similares están ahora mismo haciendo DDoS o minando criptomonedas... y que nunca serán actualizados para tapar los agujeros.
#4 #6 Sinceramente, que nos espíen mientras me masturbo comiendo risketos no me parece ni medio grave en comparación con que el acceso a sistemas críticos privados y públicos se expongan a vulnerabilidades.

Si me grabas dandome amor jode, si puedes acceder a la red de un hospital y chulear su gestión de inventario problemón.
#10. Procura no masturbarte entonces en los almacenes de farmacia de un hospital, y que no se te caiga ningún risketo entre las guías de la cinta transportadora del robot de logística; no vaya a atrancarse en medio del armagedón de barbitúricos.
#17 No prometo nada
#10 tienes lo que en lenguaje médico se conoce como el síndrome del pene naranja
#10 si puedes acceder a la red de un hospital y chulear su gestión de inventario problemón. En los públicos, dependiendo de que gobierno esté de turno, eso lo hacen los propios gerentes...
Lo hodido sería que chuleasen la gestión de los quirófanos en horario de trabajo!!
#1 Pero si dices algo eres un tecnófobo. Un ser carpetovetónico, del pasado, un cascarrabias que no quiere adaptarse a las nuevas tecnologías y que quiere arrastrar a todos a su visión negativa que nos mantendrá anclados en lo ineficiente y lo improductivo.

#YEsoEsAsí #TheStruggleIsReal
#23 Completando: Y eso además te lo suelta un tipo que no ha tocado un sistema de producción desde que Juan Pablo II era monaguillo.
#24 Ahora mismo estoy tocando un sistema en producción de la época en la que Juan Pablo II era monaguillo.

Ya le vale al que administra los router y los firewall que defienden la red de la empresa, o a quien gestiona las sondas de temperatura del CPD tenerlas actualizadas.
#1 El gran problema es que muchas veces la gente a cargo de este tipo de instalaciones no tiene ni puta idea de seguridad informática.

Yo estoy trabajando en un acelerador de partículas, y hasta hace poco la red estaba totalmente abierta a Internet. Por fin se solucionó, y ahora sólo se puede acceder de manera muy controlada. Aún así me toca pelearme con los jefes, porque hay un montón de "medidas de seguridad" obsoletas escritas hace 15 años por alguien que no tenía mucha idea, e interpretadas por alguien que sabe menos aún, y que al final hacen más mal que bien.
#26 El problema es que la acreditación del responsable de seguridad informática es una etiqueta que alguien le ha otorgado y nos solemos fiar del "experto" y de quien le acredita como tal, que puede ser alguien de recursos humanos sin conocimientos técnicos.
Y esto ocurre en todos los ámbitos profesionales.
#33 Muy cierto. Pero joder, yo no soy ningún experto, pero me preocupo por informarme, leer lo máximo posible, aprender, y entonces tomar la decisión adecuada. Hay mucho "experto" que ha escuchado campanas y no sabe donde, y luego te configura el servidor web con SSL3 y RC4...
#1 Más que cientos cacharros de su padre y de su madre el problema serán unos pocos miles o millones de unas pocas familias de dispositivos diferentes muy concretos que tendrán una vulnerabilidad bien conocida y que tendrán todos la misma versión y una buena parte de esos sistemas no se va a actualizar nunca.
#27 Como responsable del ERP... Cuando me hablas de "unos pocos miles o millones de unas pocas familias de dispositivos diferentes" a mi me entran unos sudores frios y una mala ostia de cojones
Vendo remesa de Opel Corsa anteriores a 1990.
Garantizados 100 % libres de electrónica ni centralitas;
seminuevos;
elevalunas de tracción animal;
Mechero analógico de yesca, libre de tierras raras;
ya adelanto que alguno anda regular de chapa y, lo que se dice rodar, rueda raro.

Razón en portería.
#15 “rueda raro” {0x1f602}
#19. Bueno, raro no; ponle excéntrico, nunca mejor dicho.
¿Casi 12 serán 11? :roll:
#3 Son más de 10.
#7 #5 #3. Es que es RTOS, pero muy fuzzy todo. Unos pocos muchos; muchísimos pocos; menos que docenas; más allá de un puñao.
#9 Real como la vida misma
#14 Real TOS
#3 Hay una vulnerabilidad medio segura, entiendo...
#3 A la familia de vulnerabilidades las llaman Urgent/11, pro lo que me imagino que han descubierto 11, o por lo menos lo han comunicado cuando habían descubierto 11, pero pueden ser más.

No todas las versiones tienen las 11, pero parece ser que al menos desde que están ahí cada versión tiene al menos una.
Ni puta idea de que es.
#8. Sin la tilde, te quedó una afirmación de lo más existencialista y categórica.
Es una refutación metafísica más allá de las sensaciones que pueda percibir el chipsss RTOS.

¿Se percibe a sí mismo el cacharro? ¿Es consciente de de su propia existencia? ¿Le preocupan el ayer, el mañana, la alteridad respecto a otros seres, su propriocepción sensitiva, su finitud temporal?

Grandes enigmas de la computación de ayer, hoy y siempre.
#16 Todo gracias a una tilde no encontrada. Mis dieses a tu forma de corregir.
#20. Hay que dejar margen a la reflexión al acusado. La introspección le ayudará a buscar su propio camino hacia la redención. No se le puede dar todo hecho.
#22 No sería "del acusado"? :hug:
#38. Ciertamente, porque la reflexión debería ser de alguien; así como pensamientos en propiedad.
Pero míralo como algo más poético: "margen a la reflexión", en general. Como ejercicio mental y tal y tal.
Un cliente se quejaba de que no podía acceder a Internet, que tenía mucha lentitud, la línea estaba correcta, velocidad, sin cortes, cuando miro la NAT del router me encuentro con una IP realizando 8192 conexiones a puertos telnet (23), la mayoría sin respuesta, algunas sí estaban establecidas, cuando investigo la MAC de esa IP veo que seguramente era una cámara web hackeada, así que le digo al cliente que la apague y se ponga en contacto con quien se la haya instalado, no se cómo acabó el tema, no volví a contactar con él
Pues es más gordo de lo que parece. Esto se usa en muchisimos escenario y muy críticos... en muchos casos para dar control al fabricante del equipo RT desde el exterior...
#2 No, para dar conexión al fabricante o al administrador del equipo remoto desde el exterior no se deja una vulnerabilidad en la pila TCP/IP.
Mae mía, qué desazulizao me he quedado respecto a los tiempos reales estos...
Hace nada, lo único que había era el QNX y algún Linux despistao; y los llamaban SOTRs, más que RTOS.

¿De veras vienen metiendo todos los güevos en la misma cesta?
poca tontería con estos fallos
VxDoesNotWork
Si, y 40 mil trillones tambien venga
#32 si en tu casa tienes tele, router, lavaplatos, lavadora, secadora, nevera, microondas, termomix, quizá el turmix, cámara de vídeo, de fotos... interfono con cámara, tu coche que puede llevar fácilmete 15 ecus... etc etc etc... cada uno es un posible rtos así que cuenta.

menéame