這25個(gè)安全漏洞被統(tǒng)稱為 BadAlloc，是由內(nèi)存分配整數(shù)溢出( Integer Overflow)或環(huán)繞錯(cuò)誤(Wraparound)引起的。攻擊者可以利用這些漏洞導(dǎo)致系統(tǒng)奔潰，并在受感染的IoT和OT系統(tǒng)上遠(yuǎn)程執(zhí)行惡意代碼。

Microsoft的研究人員在多個(gè)實(shí)時(shí)操作系統(tǒng)(RTOS)、C標(biāo)準(zhǔn)庫(kù)(libc)實(shí)現(xiàn)和嵌入式軟件開發(fā)工具包(SDK)里被廣泛使用的標(biāo)準(zhǔn)內(nèi)存分配功能中發(fā)現(xiàn)了這些漏洞。微軟安全響應(yīng)中心團(tuán)隊(duì)表示：作為物聯(lián)網(wǎng)設(shè)備和嵌入式軟件的一部分，多年來編寫的內(nèi)存分配實(shí)現(xiàn)并未進(jìn)行適當(dāng)?shù)妮斎腧?yàn)證，導(dǎo)致攻擊者可以利用內(nèi)存分配功能來執(zhí)行堆溢出，從而在目標(biāo)設(shè)備上執(zhí)行惡意代碼。

“ BadAlloc”示例如下：

容易受到BadAlloc攻擊的設(shè)備

易受BadAlloc漏洞攻擊的IoT和OT設(shè)備主要在消費(fèi)、醫(yī)療和工業(yè)網(wǎng)絡(luò)上。 受影響的設(shè)備完整列表如下：

• Amazon FreeRTOS 10.4.1
• Apache Nuttx OS 9.1.0
• ARM CMSIS-RTOS2 2.1.3之前的版本
• ARM Mbed OS 6.3.0
• ARM mbed-uallaoc 1.3.0
• Cesanta Software Mongoose OS v2.17.0
• eCosCentric eCosPro RTOS 2.0.1至4.5.3版本
• Google Cloud IoT設(shè)備SDK 1.0.2
• Linux Zephyr RTOS 2.4.0之前的版本
• Media Tek LinkIt SDK 4.6.1之前的版本
• Micrium OS 5.10.1及更低版本
• Micrium uCOS II / uCOS III 1.39.0及更低版本
• NXP MCUXpresso SDK 2.8.2之前的版本
• NXP 浦MQX 5.1及更低版本
• Redhat newlib 4.0.0之前的版本
• RIOT OS 2020.01.1
• Samsung Tizen RT RTOS 3.0.GBB之前的版本
• TencentOS-tiny 3.1.0
• 德州儀器(TI)CC32XX 4.40.00.07之前的版本
• 德州儀器(TI)SimpleLink MSP432E4XX
• 德州儀器(TI)SimpleLink-CC13XX 4.40.00之前的版本
• 德州儀器(TI)SimpleLink-CC26XX 4.40.00之前的版本
• 德州儀器(TI)SimpleLink-CC32XX 4.10.03之前的版本
• Uclibc-NG 1.0.36之前的版本
• Windriver VxWorks 7.0之前的版本

緩解措施

目前，漏洞已經(jīng)報(bào)告給了CISA與相關(guān)供應(yīng)商。雖然暫時(shí)未發(fā)現(xiàn)相關(guān)漏洞的野外利用，但為了降低利用風(fēng)險(xiǎn)，CISA建議組織進(jìn)行以下操作：

• 應(yīng)用可用的供應(yīng)商更新。
• 減少所有控制系統(tǒng)設(shè)備及其系統(tǒng)的網(wǎng)絡(luò)暴露，并確保不能從Internet訪問它們。
• 把控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備置于防火墻之后，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離。
• 需要遠(yuǎn)程訪問時(shí)，使用虛擬專用網(wǎng)等安全方法。

如果無法立即修補(bǔ)易受攻擊的設(shè)備，Microsoft建議：

• 最大程度地減少或消除易受攻擊的設(shè)備在互聯(lián)網(wǎng)上的暴露
• 實(shí)施網(wǎng)絡(luò)安全監(jiān)控，檢測(cè)危害的行為指標(biāo);
• 加強(qiáng)網(wǎng)絡(luò)分段以保護(hù)關(guān)鍵資產(chǎn)。

參考來源：bleepingcomputer