聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
这些漏洞是由微软的 Section 52即物联网安全研究团队 Azure Defender发现的。Section 52 联合美国网络安全和基础设施安全局 (CISA) 将所有漏洞问题告知相应厂商。
Azure Defender 团队在博客文章中表示,“这些漏洞存在于广泛用于实时操作系统 (RTOS) 、嵌入式软件开发包(SDKs)和C语言标准库 (libc) 实现的标准内存分配函数中。”
内存分配函数是编程函数,可使编程人员控制设备固件及其app和设备内置物理内存运作的方式。物联网安全公司 Armis 的研究副总裁 Ben Seri 表示,“这是操作系统及在操作系统上运行的应用程序广泛使用的内部函数。因此这些函数可被 TCP/IP 栈使用,或者由其上的任意联网 app 使用。“该团队指出,BadAlloc 漏洞产生的原因在于,”多年来作为物联网设备和嵌入式软件的一部分编写的内存分配实现并未集成适当的输入验证。“
研究人员指出,“没有这些输入验证,攻击者可利用内存分配函数执行堆溢出,从而在目标设备上执行恶意代码。“正如微软和 Seri 指出的那样,可远程执行这些攻击、通过网络或通过互联网访问设备。
微软指出,在如下产品中发现了内存分配函数中的输入验证问题:
Amazon FreeRTOS,版本10.4.1
Apache Nuttx OS,版本9.1.0
ARM CMSIS-RTOS2,2.1.3之前的版本
ARM Mbed OS,版本 6.3.0
ARM mbed-uallaoc,版本 1.3.0
Cesanta Software Mongoose OS,v2.17.0
eCosCentric eCosPro RTOS,版本2.0.1 至 4.5.3
Google Cloud IoT Device SDK, 版本1.0.2
Linux Zephyr RTOS,2.4.0 之前版本
Media Tek LinkIt SDK,4.6.1 之前版本
Micrium OS,5.10.1及之前版本
Micrium uCOS II/uCOS III 1.39.0 及之前版本
NXP MCUXpresso SDK,2.8.2 之前版本
NXP MQX,5.1及之前版本
Redhat newlib,4.0.0 之前版本
RIOT OS,版本 2020.01.1
Samsung Tizen RT RTOS,3.0.GBB之前版本
TencentOS-tiny,版本3.1.0
Texas Instruments CC32XX,4.40.00.07 之前版本
Texas Instruments SimpleLink MSP432E4XX
Texas Instruments SimpleLink-CC13XX,4.40.00 之前版本
Texas Instruments SimpleLink-CC26XX,4.40.00之前版本
Texas Instruments SimpleLink-CC32XX,4.10.03之前版本
Uclibc-NG,1.0.36之前版本
Windriver VxWorks,7.0之前版本
CISA 今天早些时候发布公告指出,截至文本发布时,在25家受影响的组织机构中,仅有15家发布安全更新。其它10家可能会在未来几个月中发布。
在补丁发布前,CISA 和微软建议企业将易受攻击系统暴露到互联网的风险降到最低,监控物联网/运营技术系统中的异常情况,并对内网进行分段,防止 BadAlloc 漏洞遭利用。
在本文发布时,似乎并未出现这些漏洞的 PoC,但很可能在未来几周或几个月内出现。CISA 对这些漏洞的评分是9.8分(满分10分),并督促组织机构尽快解决。
CISA 或微软均未发布关于受影响产品的数量信息。从以上清单中的厂商名称来看,应该至少数十亿设备受影响。
https://therecord.media/microsoft-discloses-badalloc-bugs-affecting-smart-devices-industrial-gear/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~