微軟警告有多達25項重大漏洞存在IoT與工業設備中

微軟安全研究人員本周警告多家廠商的IoT及工業裝置存在25項尚未被發現的重大記憶體配置漏洞,成功開採的駭客將可能在企業網路裝置上執行惡意程式碼,造成整個系統斷線或被接管。

微軟安全研究人員本周警告多家廠商的IoT及工業裝置存在25項尚未被發現的重大記憶體配置漏洞,成功開採的駭客將可能在企業網路裝置上執行惡意程式碼,造成整個系統斷線或被接管。

微軟安全回應中心報告指出,Azure Defender IoT安全研究小組Section 52新發現的這些漏洞統稱為BadAlloc,屬於整數溢位(Integer Overflow)漏洞,風險層級高達9.8,並影響消費者裝置、醫療IoT裝置、工業IoT、營運科技(operation technology)及工控系統等產品。

Section 52研究人員指出,IoT裝置及嵌入式軟體上的記憶體實作普遍都缺乏適當的輸入檢查,若沒有這些輸入檢查,攻擊者就能開採記憶體配置函式漏洞,引發堆疊型緩衝溢位,而可在目標裝置上執行惡意程式碼。

記憶體配置顧名思義,是裝置廠商提供裝置配置記憶體的一組基本指令。微軟發現的漏洞涉及眾多種記憶體函數,像是malloc、calloc、realloc、memalign、 valloc、pvalloc等。

根據研究人員的發現,這種漏洞屬於系統性問題,因此可能發生在多種裝置軟體上,像是即時作業系統(RTOS)、嵌入式軟體的軟體開發套件(SDK)及C標準函式庫(libc)實作。由於IoT和OT裝置相當普及,這些漏洞一旦遭開採,將會威脅各種企業。

根據美國網路安全暨基礎架構安全署(CISA)發佈的公告,受影響的裝置清單落落長,包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。

不過還好,Section 52說未尚觀測到這些漏洞有任何開採活動。研究人員已對受影響的廠商分享其發現,由廠商自行調查和修補漏洞。

25項產品中有15項已經釋出更新。但有些裝置要稍後才會修補,另一些則表明不會有更新版。

如果這些裝置所在的網路管理員無法修補漏洞,CISA和微軟則建議可以先採行緩解措施。

CISA建議縮小控制系統或裝置與外部網路的接觸面,確保無法由網際網路存取,使其成為網路犯罪者唾手可得的肥羊。CISA也建議系統管理員實行網路區隔,將系統網路和遠端裝置與業務網路區隔開來,並將之置於防火牆後。如果需要遠端存取這些裝置,就必須使用安全連線,像是更新到最新安全協定的VPN,CISA說。

微軟建議也類似,另外也提出管理員應持續性監控網路裝置以偵測異常或非授權行為,像是和陌生的本地或遠端主機建立通訊。

來源:ThreatPost

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416