Microsoft nachádza chyby „BadAlloc“ ovplyvňujúce široký rozsah zariadení internetu vecí a OT

Výskumníci spoločnosti Microsoft vo štvrtok odhalili dva tucty zraniteľností ovplyvňujúcich širokú škálu zariadení internetu vecí (IoT) a operačných technológií (OT) používaných v priemyselných, lekárskych a podnikových sieťach, ktoré by mohli protivníci zneužiť na spustenie ľubovoľného kódu a dokonca spôsobiť kritické systémy. havarovať.

„Tieto zraniteľnosti spustenia vzdialeného kódu (RCE) pokrývajú viac ako 25 CVE a potenciálne ovplyvňujú širokú škálu domén, od spotrebiteľského a medicínskeho internetu vecí až po priemyselný internet vecí, prevádzkové technológie a priemyselné riadiace systémy,“ povedal Azure Defender pre „Section 52“ spoločnosti Microsoft. výskumná skupina IoT.

Chyby boli súhrnne pomenované „BadAlloc“, pretože sú zakorenené v štandardných funkciách prideľovania pamäte, ktoré zahŕňajú široko používané operačné systémy v reálnom čase (RTOS), vstavané súpravy na vývoj softvéru (SDK) a implementácie štandardných knižníc C (libc). alokačné funkcie by mohli umožniť protivníkovi vykonať pretečenie haldy, čo vedie k spusteniu škodlivého kódu na zraniteľnom zariadení.

“Úspešné využitie týchto zraniteľností môže viesť k neočakávanému správaniu, ako je pád alebo vzdialené vloženie/spustenie kódu,” uviedla americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA). Microsoft ani CISA nezverejnili podrobnosti o celkovom počte zariadení ovplyvnených softvérovými chybami.

Úplný zoznam zariadení ovplyvnených BadAlloc je nasledujúci –

  • Amazon FreeRTOS, verzia 10.4.1
  • Verzia operačného systému Apache Nuttx 9.1.0
  • ARM CMSIS-RTOS2, verzie predchádzajúce 2.1.3
  • ARM Mbed OS, verzia 6.3.0
  • ARM mbed-uallaoc, verzia 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, verzie 2.0.1 cez 4.5.3
  • Google Cloud IoT Device SDK, verzia 1.0.2
  • Linux Zephyr RTOS, verzie predchádzajúce 2.4.0
  • MediaTek LinkIt SDK, verzie predchádzajúce 4.6.1
  • Micro OS, verzie 5.10.1 a predchádzajúce
  • Verzie Micrium uCOS II/uCOS III 1.39.0 a predchádzajúce
  • NXP MCUXpresso SDK, verzie predchádzajúce 2.8.2
  • NXP MQX, verzie 5.1 a predchádzajúce
  • Redhat newlib, verzie predchádzajúce 4.0.0
  • RIOT OS, verzia 2020.01.1
  • Samsung Tizen RT RTOS, predchádzajúce verzie 3.0.GBB
  • TencentOS-tiny, verzia 3.1.0
  • Texas Instruments CC32XX, verzie predchádzajúce 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, verzie predchádzajúce 40,40,00
  • Texas Instruments SimpleLink-CC26XX, verzie predchádzajúce 40,40,00
  • Texas Instruments SimpleLink-CC32XX, verzie predchádzajúce 4.10.03
  • Uclibc-NG, verzie predchádzajúce 1.0.36
  • Windriver VxWorks, pred 7.0

Spoločnosť Microsoft uviedla, že doteraz nenašla žiadne dôkazy o zneužívaní týchto zraniteľností, hoci dostupnosť záplat by mohla zlému hercovi umožniť použiť techniku ​​nazývanú „patch diffing“ na spätné inžinierstvo opráv a využiť ju na potenciálne zbraňovanie zraniteľných verzií. softvér.

Aby sa minimalizovalo riziko zneužitia týchto zraniteľností, CISA odporúča organizáciám, aby čo najskôr použili aktualizácie od dodávateľov, postavili bariéry brány firewall a izolovali systémové siete od podnikových sietí a obmedzili vystavenie zariadení riadiaceho systému, aby sa zabezpečilo, že zostanú nedostupné z internetu.