吳明宜微軟安全研究人員本周警告多家廠商的 IoT 及工業裝置存在 25 項尚未被發現的重大記憶體配置漏洞,成功開採的駭客將可能在企業網路裝置上執行惡意程式碼,造成整個系統斷線或被接管。
微軟安全回應中心報告指出,Azure Defender IoT 安全研究小組 Section 52 新發現的這些漏洞統稱為 BadAlloc,屬於整數溢位 (Integer Overflow) 漏洞,風險層級高達 9.8,並影響消費者裝置、醫療 IoT 裝置、工業 IoT 、營運科技 (operation technology) 及工控系統等產品。
Section 52 研究人員指出,IoT 裝置及嵌入式軟體上的記憶體實作普遍都缺乏適當的輸入檢查,若沒有這些輸入檢查,攻擊者就能開採記憶體配置函式漏洞,引發堆疊型緩衝溢位,而可在目標裝置上執行惡意程式碼。
記憶體配置顧名思義,是裝置廠商提供裝置配置記憶體的一組基本指令。微軟發現的漏洞涉及眾多種記憶體函數,像是 malloc 、 calloc 、 realloc 、 memalign 、 valloc 、 pvalloc 等。
根據研究人員的發現,這種漏洞屬於系統性問題,因此可能發生在多種裝置軟體上,像是即時作業系統 (RTOS) 、嵌入式軟體的軟體開發套件 (SDK) 及 C 標準函式庫 (libc) 實作。由於 IoT 和 OT 裝置相當普及,這些漏洞一旦遭開採,將會威脅各種企業。
根據美國網路安全暨基礎架構安全署 (CISA) 發佈的公告,受影響的裝置清單落落長,包括 Google Cloud IoT Device SDK 、 TI SimpleLink 、 ARM 、三星 Tizen RT RTOS 、 Amazon FreeRTOS 、 NXP MQX 、 Media Tek LinkIt SDK 、 Windriver 等網路產品軟體 25 項。
不過還好,Section 52 說未尚觀測到這些漏洞有任何開採活動。研究人員已對受影響的廠商分享其發現,由廠商自行調查和修補漏洞。
25 項產品中有 15 項已經釋出更新。但有些裝置要稍後才會修補,另一些則表明不會有更新版。
如果這些裝置所在的網路管理員無法修補漏洞,CISA 和微軟則建議可以先採行緩解措施。
CISA 建議縮小控制系統或裝置與外部網路的接觸面,確保無法由網際網路存取,使其成為網路犯罪者唾手可得的肥羊。 CISA 也建議系統管理員實行網路區隔,將系統網路和遠端裝置與業務網路區隔開來,並將之置於防火牆後。如果需要遠端存取這些裝置,就必須使用安全連線,像是更新到最新安全協定的 VPN,CISA 說。
微軟建議也類似,另外也提出管理員應持續性監控網路裝置以偵測異常或非授權行為,像是和陌生的本地或遠端主機建立通訊。
來源:ThreatPost