Хакер #305. Многошаговые SQL-инъекции
Эксперты компании Microsoft обнаружили 25 уязвимостей, которые влияют на широкий спектр IoT-устройств и промышленное оборудование, используемое в промышленных, медицинских и корпоративных сетях. Эти уязвимости получили общее название BadAlloc.
«Уязвимости удаленного выполнения кода (RCE) связаны с 25 CVE и потенциально опасны для широкого спектра доменов, от потребительского и медицинского интернета вещей, до промышленного интернета вещей, операционных технологий и промышленных систем управления.
Уязвимости связаны со стандартными функциями распределения памяти (memory allocation), и затрагивают широко используемые RTOS, встроенные SDK и имплементации стандартной библиотеки C (libc)», — пишут эксперты.
Исследователи поясняют, что ошибки BadAlloc возникают в силу того, что различные «имплементации распределения памяти, многие годы создававшиеся как часть устройств IoT и встроенного программного обеспечения, не имели надлежащей проверки входных данных». В итоге злоумышленник может использовать баги memory allocation для провоцирования переполнения хипа, что приведет к выполнению вредоносного кода на целевом устройстве. Как отметили в Microsoft, такие атаки могут выполняться как локально, так и удаленно, если устройство доступно в интернете.
По данным специалистов, уязвимости были обнаружены в составе следующих продуктов:
- Amazon FreeRTOS, версия 10.4.1;
- ОС Apache Nuttx, версия 9.1.0 ;
- ARM CMSIS-RTOS2, версии до 2.1.3;
- ОС ARM Mbed, версия 6.3.0;
- ARM mbed-uallaoc, версия 1.3.0;
- Cesanta Software Mongoose OS, версия 2.17.0;
- eCosCentric eCosPro RTOS, версии 2.0.1–4.5.3;
- SDK для устройств Google Cloud IoT, версия 1.0.2;
- ОСРВ Linux Zephyr, версии до 2.4.0;
- Media Tek LinkIt SDK, версии до 4.6.1;
- Micrium OS, версии 5.10.1 и более ранние;
- Micrium uCOS II / uCOS III версий 1.39.0 и более ранние;
- NXP MCUXpresso SDK, версии до 2.8.2;
- NXP MQX, версии 5.1 и более ранние;
- Redhat newlib, версии до 4.0.0;
- ОС RIOT, Версия 2020.01.1 ;
- ОСРВ Samsung Tizen RT, версии до 3.0.GBB;
- TencentOS-tiny, версия 3.1.0;
- Texas Instruments CC32XX, версии до 4.40.00.07;
- Texas Instruments SimpleLink MSP432E4XX;
- Texas Instruments SimpleLink-CC13XX, версии до 4.40.00;
- Texas Instruments SimpleLink-CC26XX, версии до 4.40.00;
- Texas Instruments SimpleLink-CC32XX, версии до 4.10.03;
- Uclibc-NG, версии до 1.0.36;
- Windriver VxWorks до 7.0.
Согласно сообщению, опубликованному Агентством по кибербезопасности и защите инфраструктуры, организованным при Министерстве внутренней безопасности США (DHS CISA), на данный момент только 15 из 25 затронутых производителей представили обновления для исправления проблем BadAlloc. Ожидается, что остальные десять поставщиков выпустят патчи «в ближайшие месяцы».
Пока для этих ошибок нет доступных эксплоитов, однако это может легко измениться в ближайшие недели или месяцы. CISA присвоило проблемам BadAlloc оценку 9,8 баллов из 10 возможных, и призвала все затронутые организации как можно скорее исправить уязвимости.
Ни CISA, ни Microsoft пока не опубликовали даже приблизительные оценки количества затронутых продуктов. Однако судя по тому, какие производители вошли в приведенный выше список, количество уязвимых устройств может исчисляться миллиардами.