BadAlloc: критические уязвимости памяти угрожают миллионам IoT- и OT-устройств

Исследователи из группы Azure Defender for IoT (Microsoft) обнаружили целое семейство критических уязвимостей в функциях выделения памяти, которые используются в операционных системах и SDK для IoT- и OT-устройств. Проблему назвали BadAlloc — и она может затронуть очень широкий круг оборудования: от бытовой и медицинской электроники до промышленных систем управления.

Что не так с памятью

По данным Microsoft, речь идёт как минимум о 25 CVE. Их объединяет одна причина: стандартные функции выделения памяти — malloc, calloc, realloc, memalign, valloc, pvalloc и другие — во многих реализациях RTOS (операционных систем реального времени), встраиваемых SDK и библиотек libc написаны без надлежащей проверки входных данных.

Из-за этого злоумышленник может спровоцировать переполнение кучи (heap overflow) и в итоге выполнить произвольный вредоносный код на устройстве — либо просто обрушить систему. В компании подчеркнули: подобные ошибки годами тиражировались при разработке встраиваемого софта для IoT именно потому, что валидация входных данных в функциях выделения памяти считалась второстепенной задачей.

Кто под ударом

Расследование Microsoft проводилось в координации с Министерством внутренней безопасности США (DHS). В список затронутых поставщиков попали Amazon, ARM, Cesanta, Google Cloud, Samsung, Texas Instruments и Tencent. US-CERT также указывает, что проблема касается ряда open-source продуктов.

По оценке Microsoft, из-за массовости IoT- и OT-устройств потенциальный ущерб от эксплуатации BadAlloc может быть очень значительным для организаций любого масштаба. На момент публикации предупреждения компания не фиксировала фактов эксплуатации уязвимостей в реальных атаках, но настоятельно рекомендовала как можно скорее устанавливать патчи.

Как снизить риск

Пока не все устройства получили обновления, Microsoft и DHS советуют закрывать поверхность атаки другими способами:

  • внедрять сетевой мониторинг для выявления поведенческих признаков компрометации;
  • усиливать сегментацию сети, чтобы защитить критически важные активы;
  • исключать ненужные подключения OT-систем управления к интернету;
  • при необходимости удалённого доступа использовать VPN с многофакторной аутентификацией;
  • изолировать IoT- и OT-сети от корпоративной ИТ-инфраструктуры с помощью межсетевых экранов.

Отдельно в DHS напомнили, что сами VPN-шлюзы также могут содержать уязвимости, поэтому их нужно обновлять до актуальных версий, а не рассматривать как безусловно безопасный периметр.

Источник: Cybersecurity News.