情境示意圖,圖片來源:https://www.maxpixel.net/Internet-Cloud-Technology-Internet-Of-Things-Iot-4085382 (CC0 Public Domain)

微軟Azure負責IoT安全研究的Section 52團隊,最近於物聯網(Internet of Things,IoT)與營運技術(Operational Technology,OT)裝置上,發現了一系列的記憶體分配漏洞,可用來執行惡意程式或造成系統崩潰,這群漏洞被Section 52統稱為BadAlloc,由逾25個各別的漏洞所組成。

其實Section 52團隊所發現的漏洞,是存在於各種平臺的記憶體分配功能中,從即時作業系統(RTOS)、嵌入式軟體開發套件(SDKs),以及C標準函式庫(libc)實作等,而這些平臺又被應用在消費者IoT裝置、醫療IoT裝置、工業IoT裝置、工業控制系統,以及OT裝置上。

Section 52團隊說明,BadAlloc漏洞都是肇因於使用了含有漏洞的記憶體功能,涵蓋malloc、calloc、realloc、memalign、valloc與pvalloc等,研究顯示,作為物聯網裝置與嵌入式軟體的一部分,多年來的記憶體分配實作並未執行適當的輸入驗證,缺乏輸入驗證便將允許駭客開採記憶體分配功能,造成堆積溢位,進而讓駭客可於目標裝置上執行任意程式。

美國國土安全部已列出了所有的BadAlloc漏洞,以及受到BadAlloc漏洞波及的各式產品(如下圖),從Amazon FreeRTOS、Apache Nuttx OS、Google Cloud IoT Device SDK、Media Tek LinkIt SDK、IOT OS、到德儀的SimpleLink都在風險名單中。

由於含有BadAlloc漏洞的 IoT與OT 裝置非常普及,倘若被成功開採將對組織造成巨大的安全風險,幸好微軟迄今尚未看到BadAlloc遭到開採的跡象。

微軟在公布漏洞之前便已先行知會各平臺或SDK的開發商,目前多數業者皆已釋出更新程式,Section 52團隊建議部署相關IoT與OT裝置的組織應儘速更新,假設無法立即更新,也應監控裝置的行為,並移除相關裝置不必要的連網能力以減少攻擊表面,或是透過防火牆把IoT/OT裝置網路與企業IT網路隔離。

熱門新聞


Advertisement