米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月29日(米国時間)、「CISA Releases ICS Advisory on Real-Time Operating System Vulnerabilities|CISA」において、Real-Time Operating Systems (RTOS)およびそのサポートライブラリに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってクラッシュやリモートコード実行といった予期せぬ動作を引き起こされるおそれがあるとされている。

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Amazon FreeRTOSバージョン10.4.1
  • Apache Nuttx OSバージョン9.1.0
  • ARM CMSIS-RTOS2 2.1.3より前のバージョン
  • ARM Mbed OSバージョン6.3.0
  • ARM mbed-uallaocバージョン1.3.0
  • Cesanta Software Mongoose OSバージョン2.17.0
  • eCosCentric eCosPro RTOSバージョン2.0.1から4.5.3までのバージョン
  • Google Cloud IoT Device SDKバージョン1.0.2
  • Linux Zephyr RTOS 2.4.0より前のバージョン
  • Media Tek LinkIt SDK 4.6.1より前のバージョン
  • Micrium OS, Versions 5.10.1およびこれより前のバージョン
  • Micrium uCOS II/uCOS III Versions 1.39.0およびこれより前のバージョン
  • NXP MCUXpresso SDK 2.8.2より前のバージョン
  • NXP MQX, Versions 5.1およびこれより前のバージョン
  • Redhat newlib 4.0.0より前のバージョン
  • RIOT OSバージョン2020.01.1
  • Samsung Tizen RT RTOS 3.0.GBBより前のバージョン
  • TencentOS-tinyバージョン3.1.0
  • Texas Instruments CC32XX 4.40.00.07より前のバージョン
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XXより前のバージョン4.40.00
  • Texas Instruments SimpleLink-CC26XXより前のバージョン4.40.00
  • Texas Instruments SimpleLink-CC32XXより前のバージョン4.10.03
  • Uclibc-NG 1.0.36より前のバージョン
  • Windriver VxWorks 7.0より前のバージョン
  • Multiple RTOS|CISA

    Multiple RTOS | CISA

対象の脆弱性は掲載されているプロダクト以外にも存在する可能性があり注意が必要。使用しているデバイスに関して、ベンダーやメーカから提供される情報を定期的に確認するとともに、該当する情報が公開された場合には迅速に対応することが望まれる。