아마존 FreeRTOS IoT OS에서 치명적 결점 발견

Critical Flaws Found in Amazon FreeRTOS IoT Operating System

한 보안 연구원이 인기있는 임베디드 실시간 OS인 FreeRTOS 치명적인 보안 취약점 다수를 발견했습니다. 이 취약점은 광범위한 광범위한 IoT 기기들, 주요 시설의 시스템들을 해커에 노출시킬 수 있습니다 .

FreeRTOS (Amazon, WHIS OpenRTOS, SafeRTOS)란?

FreeRTOS는 인기 있는 임베디드 시스템용 오픈소스 실시간 OS이며 IoT, 항공 우주, 의료, 자동차 산업 등 40개 이상의 마이크로 컨트롤러에 사용 되었습니다.

RTOS는 매번 마다 아주 정확한 타이밍, 높은 수준의 신뢰도로 신중하게 어플리케이션을 실행 하도록 설계 되었습니다.

심장 박동기는 적절한 시간에 심장 근육을 수축 시키며, 사람을 살리기 위해서는 지연이 발생해서는 안되는 실시간 임베디드 시스템의 좋은 예입니다.

지난해 말부터 아마존이 FreeRTOS 프로젝트를 관리하기 시작했습니다. 이들은 FreeRTOS 커널 및 및 컴포넌트 일부를 업그레이드 하여 Amazon FreeRTOS (a:FreeRTOS) IoT OS를 만들었습니다.

아마존은 안전한 연결, 무선 업데이트, 코드 서명, AWS 클라우드 지원 등을 위한 모듈을 추가해 FreeRTOS의 기능을 강화했습니다.

아마존 이외에도 WITTENSTEIN 높은 무결성 시스템(WHIS) 또한 FreeRTOS의 변형 2가지를 관리합니다. 이 두 제품은 FreeRTOS의 상용 버전인 WHIS OpenRTOS, 안전이 중요한 장치에 사용하는 안전 지향 RTOS인 SafeRTOS입니다.

FreeRTOS 취약점 및 보안 패치

zLabs의 보안 연구원인 Ori Karliner는 FreeRTOS의 TCP/IP 스택에서 취약점 총 13개를 발견했습니다. 이 취약점은 아마존, WHIS에서 관리하는 변형에도 영향을 줍니다.

이 취약점으로 인해 공격자는 대상 기기를 손상 시켜 메모리에서 정보를 유출시킬 수 있으며, 심지어 원격으로 악성 코드를 실행할 수도 있어 타겟 기기를 완전히 제어할 수 있게 될 수 있습니다.

이 연구원에 따르면, 이 취약점은 FreeRTOS 10.0.1 (FreeRTOS+TCP 포함) 및 이전 버전, AWS FreeRTOS 1.3.1 및 이전 버전, WHIS OpenRTOS, SafeRTOS(WHIS Connect 미들웨어 TCI/IP 컴포넌트 포함)에 영향을 미칩니다.

연구원은 아마존에 이 문제를 제보했으며, 아마존은 AWS FreeRTOS 버전 1.3.2 및 이후 버전(v1.4.2)에서 이 문제를 수정하는 패치를 배포했습니다.

또한 zLabs는 “WHIS에서도 동일한 취약점이 확인 되었으며, 아마존과 함께 패치를 완료했습니다.”라고 밝혔습니다.

연구원들은 아직 패치를 완료하지 않은 소규모 벤더들이 공격을 받기 전 이 문제를 해결할 수 있는 시간을 벌기 위해 최소 한 달 간은 기술적 세부 정보는 공개하지 않기로 결정했습니다.

출처 :

https://thehackernews.com/2018/10/amazon-freertos-iot-os.html