Подписка
МЕНЮ
Подписка

Уязвимости BadAlloc ставят под угрозу IoT-устройства и промышленное оборудование

30/04/21

IoT-3Эксперты компании Microsoft предупредили о множественных проблемах, затрагивающих широкий спектр подключенных к интернету устройств, которые могут использоваться для удаленного выполнения кода.

Команда исследователей обнаружила по меньшей мере 25 уязвимостей, затрагивающих IoT- и OT-оборудование в промышленных, медицинских и корпоративных сетях. Проблемы, получившие общее название BadAlloc, предоставляют возможность обойти защитные механизмы и выполнить вредоносный код или вызвать сбой в работе устройства. Это передает Securitylab.

Уязвимости содержатся в стандартных функциях выделения памяти в популярных RTOS-системах (операционная система реального времени), встроенных наборах для разработки ПО (SDK), а также реализациях libc.

«Все эти уязвимости связаны с использованием уязвимых функций памяти, таких как malloc, calloc, realloc, memalign, valloc, pvalloc и т.д. Наше исследование показывает, что реализации функций выделения памяти в IoT-устройствах и встроенном программном обеспечении не имеют должной проверки вводимых данных. Без этих проверок атакующий может проэксплуатировать функцию выделения памяти, спровоцировать переполнение буфера и выполнить вредоносный код на целевом устройстве», - пояснили в Microsoft.

Проблемы затрагивают следующие продукты:

 

  • Amazon FreeRTOS, версия 10.4.1
  • Apache Nuttx OS, версия 9.1.0
  • ARM CMSIS-RTOS2, версии до 2.1.3
  • ARM Mbed OS, версия 6.3.0
  • ARM mbed-uallaoc, версия 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, версии с 2.0.1 по 4.5.3
  • Google Cloud IoT Device SDK, версия 1.0.2
  • Linux Zephyr RTOS, версии до 2.4.0
  • Media Tek LinkIt SDK, версии до 4.6.1
  • Micrium OS, версия 5.10.1 и ниже
  • Micrium uCOS II/uCOS III версия 1.39.0 и ниже
  • NXP MCUXpresso SDK, версии до 2.8.2
  • NXP MQX, версия 5.1 и ниже
  • Redhat newlib, версии до 4.0.0
  • RIOT OS, версия 2020.01.1
  • Samsung Tizen RT RTOS, версии до 3.0.GBB
  • TencentOS-tiny, версия 3.1.0
  • Texas Instruments CC32XX, версии до 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, версии до 4.40.00
  • Texas Instruments SimpleLink-CC26XX, версии до 4.40.00
  • Texas Instruments SimpleLink-CC32XX, версии до 4.10.03
  • Uclibc-NG, версии до1.0.36
  • Windriver VxWorks, версии до 7.0

В настоящее время только 15 из 25 затронутых организаций выпустили обновления, исправляющие BadAlloc. Ожидается, что остальные вендоры выпустят патчи в ближайшие месяцы.

Темы:MicrosoftИнтернет вещейНовостикиберугрозы

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
ПРОЕКТ «СИСТЕМЫ БЕЗОПАСНОСТИ»