微軟警告有多達25項重大漏洞存在IoT與工業設備中

微軟安全研究人員本周警告多家廠商的IoT及工業裝置存在25項尚未被發現的重大記憶體配置漏洞，成功開採的駭客將可能在企業網路裝置上執行惡意程式碼，造成整個系統斷線或被接管。

微軟安全回應中心報告指出，Azure Defender IoT安全研究小組Section 52新發現的這些漏洞統稱為BadAlloc，屬於整數溢位(Integer Overflow)漏洞，風險層級高達9.8，並影響消費者裝置、醫療IoT裝置、工業IoT、營運科技(operation technology)及工控系統等產品。

Section 52研究人員指出，IoT裝置及嵌入式軟體上的記憶體實作普遍都缺乏適當的輸入檢查，若沒有這些輸入檢查，攻擊者就能開採記憶體配置函式漏洞，引發堆疊型緩衝溢位，而可在目標裝置上執行惡意程式碼。

記憶體配置顧名思義，是裝置廠商提供裝置配置記憶體的一組基本指令。微軟發現的漏洞涉及眾多種記憶體函數，像是malloc、calloc、realloc、memalign、 valloc、pvalloc等。

根據研究人員的發現，這種漏洞屬於系統性問題，因此可能發生在多種裝置軟體上，像是即時作業系統(RTOS)、嵌入式軟體的軟體開發套件(SDK)及C標準函式庫(libc)實作。由於IoT和OT裝置相當普及，這些漏洞一旦遭開採，將會威脅各種企業。

根據美國網路安全暨基礎架構安全署(CISA)發佈的公告，受影響的裝置清單落落長，包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。

不過還好，Section 52說未尚觀測到這些漏洞有任何開採活動。研究人員已對受影響的廠商分享其發現，由廠商自行調查和修補漏洞。

25項產品中有15項已經釋出更新。但有些裝置要稍後才會修補，另一些則表明不會有更新版。

如果這些裝置所在的網路管理員無法修補漏洞，CISA和微軟則建議可以先採行緩解措施。

CISA建議縮小控制系統或裝置與外部網路的接觸面，確保無法由網際網路存取，使其成為網路犯罪者唾手可得的肥羊。CISA也建議系統管理員實行網路區隔，將系統網路和遠端裝置與業務網路區隔開來，並將之置於防火牆後。如果需要遠端存取這些裝置，就必須使用安全連線，像是更新到最新安全協定的VPN，CISA說。

微軟建議也類似，另外也提出管理員應持續性監控網路裝置以偵測異常或非授權行為，像是和陌生的本地或遠端主機建立通訊。

來源：ThreatPost