Microsoft alerta sobre 25 vulnerabilidades críticas em IoT

Microsoft alerta sobre 25 vulnerabilidades críticas em IoT, dispositivos industriais. O problema sistêmico é na alocação de memória que permite acesso remoto.

O proliferação do uso de IoT traz novos desafios para a Segurança da Informação. A segurança em IoT ainda é imatura.

A equipe de segurança do Azure Defender descobriu que a alocação de memória é um problema sistêmico que pode permitir que os agentes de ameaças executem códigos mal-intencionados remotamente ou causem a falha de sistemas inteiros.

Essas funções de alocação de memória são amplamente utilizadas em vários sistemas operacionais em tempo real (RTOS), implementações de biblioteca padrão C (libc) e kits de desenvolvimento de software embarcado (SDKs).

As vulnerabilidades foram encontradas e relatadas à Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) e foram mitigadas com sucesso.

Os pesquisadores de segurança da Microsoft estão alertando a indústria sobre 25 vulnerabilidades críticas de alocação de memória ainda não documentadas em vários dispositivos IoT e industriais de fornecedores que os agentes de ameaças podem explorar para executar código malicioso em uma rede ou causar o travamento de um sistema inteiro.

Essas vulnerabilidades de execução remota de código (RCE) cobrem mais de 25 CVEs e afetam potencialmente uma ampla gama de domínios, de IoT médica e de consumidor a IoT industrial, Tecnologia operacional (OT) e sistemas de controle industrial.

As vulnerabilidades existem nas funções de alocação de memória padrão, abrangendo sistemas operacionais em tempo real (RTOS) amplamente usados, kits de desenvolvimento de software integrado (SDKs) e implementações de biblioteca padrão C (libc). Essas descobertas foram compartilhadas com os fornecedores por meio de divulgação responsável liderada pelo Microsoft Security Response Center (MSRC) e pelo Departamento de Segurança Interna (DHS), permitindo que esses fornecedores investiguem e corrijam as vulnerabilidades.

Nossa pesquisa mostra que as implementações de alocação de memória escritas ao longo dos anos como parte de dispositivos IoT e software integrado não incorporaram validações de entrada adequadas”, de acordo com o relatório. “Sem essas validações de entrada, um invasor pode explorar a função de alocação de memória para realizar um estouro de heap, resultando na execução de código malicioso em um dispositivo de destino.

A alocação de memória é exatamente o que parece – o conjunto básico de instruções que os fabricantes de dispositivos fornecem sobre como alocar memória. As vulnerabilidades resultam do uso de funções de memória vulneráveis ​​em todos os dispositivos, como malloc, calloc, realloc, memalign, valloc, pvalloc e muito mais, de acordo com o relatório.

Pelo que os pesquisadores descobriram, o problema é sistêmico, então pode existir em vários aspectos dos dispositivos, incluindo sistemas operacionais em tempo real (RTOS), kits de desenvolvimento de software embarcado (SDKs) e implementações de biblioteca padrão C (libc), eles disseram . E como os dispositivos IoT e OT são altamente difundidos, “essas vulnerabilidades, se exploradas com sucesso, representam um risco potencial significativo para organizações de todos os tipos”, observaram os pesquisadores.

Nossa pesquisa mostra que as implementações de alocação de memória escritas ao longo dos anos como parte de dispositivos IoT e software incorporado não incorporaram validações de entrada adequadas“, escreveu a equipe do Microsoft Security Response Center (MSRC).

Eles acrescentam que, devido à falta de validação de entrada adequada, um invasor pode ter explorado a função de alocação de memória para realizar um estouro de heap, o que teria permitido que ele desencadeasse travamentos do sistema ou executasse código malicioso no dispositivo vulnerável.

Em seu comunicado, a CISA lista os produtos exatos que são afetados pelas vulnerabilidades do BadAlloc, junto com um link para suas atenuações disponíveis ou futuras, que incluem uma série de produtos da Texas Instruments, bem como outros da ARM, Samsung e Amazon, entre outros fornecedores.

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0 
  • ARM CMSIS-RTOS2, versions prior to 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions prior to 2.4.0
  • Media Tek LinkIt SDK, versions prior to 4.6.1
  • Micrium OS, Versions 5.10.1 and prior
  • Micrium uCOS II/uCOS III Versions 1.39.0 and prior
  • NXP MCUXpresso SDK, versions prior to 2.8.2
  • NXP MQX, Versions 5.1 and prior
  • Redhat newlib, versions prior to 4.0.0
  • RIOT OS, Version 2020.01.1 
  • Samsung Tizen RT RTOS, versions prior 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions prior to 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
  • Uclibc-NG, versions prior to 1.0.36 
  • Windriver VxWorks, prior to 7.0

Dessa lista de 25 aparelhos, 15 já possuem atualizações. Enquanto isso, alguns fornecedores não esperam ter atualizações para corrigir o problema por vários motivos, e outros lançarão correções em uma data posterior, de acordo com o comunicado.

Se os administradores que executam redes nas quais dispositivos afetados estão presentes não puderem aplicar patches para corrigir o problema, a CISA e a Microsoft recomendaram outras atenuações.

A CISA recomenda minimizar a exposição da rede para todos os dispositivos e / ou sistemas do sistema de controle para garantir que eles não sejam acessíveis pela Internet, o que os torna mais fáceis de usar para os atores da ameaça.

A agência também aconselhou que os administradores de sistema pratiquem a segmentação de rede, isolando redes de sistema e dispositivos remotos da rede de negócios, além de colocá-los atrás de firewalls. Se o acesso remoto a esses dispositivos for necessário, métodos seguros devem ser usados, como VPNs que são atualizados com os protocolos de segurança mais recentes, disse a CISA.

A Microsoft recomenda atenuações semelhantes, mas também sugeriu que os administradores implementem um monitoramento mais cuidadoso e contínuo dos dispositivos nas redes “para comportamentos anômalos ou não autorizados, como comunicação com hosts locais ou remotos desconhecidos”.

Para obter mais detalhes sobre os CVEs, visite o site do DHS: ICSA-21-119-04 Multiple RTOS .

Fonte: Threat Post & TechRadar & CISA

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!