‘200 miljoen apparaten vatbaar voor lekken in VxWorks’

Onderzoekers van het Amerikaanse beveiligingsbedrijf Armis hebben elf zero-day kwetsbaarheden gevonden in VxWorks, een van de meest gebruikte besturingssystemen voor Internet of Things (IoT)-apparatuur. Wereldwijd wordt het systeem in 2 miljard apparaten gebruikt. 

VxWorks is te vinden in allerlei soorten systemen, waaronder medische apparatuur, firewalls, liften en industriële machines. Volgens Armis zijn zo’n 200 miljoen apparaten kwetsbaar voor de gevonden lekken. VxWorks zelf zegt dat veel minder apparaten kwetsbaar zijn.

Er is geen bewijs dat de fouten al zijn misbruikt. In theorie zou een hacker veel schade kunnen veroorzaken. Zes van de elf fouten vallen in de categorie ‘urgent’, aldus Armis. Het zou mogelijk zijn om op afstand code uit te voeren op apparaten.

Volgens Armis wordt VxWorks gebruikt in MRI-scanners, vliegtuigen, treinen, firewalls en printers. Tot de fabrikanten die het systeem gebruiken, behoren onder meer Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC en Arris. Er zijn inmiddels softwareupdates beschikbaar om de fouten op te lossen. Armis adviseert bedrijven dit zo snel mogelijk te doen.