Исследователи из группы Azure Defender for IoT (Microsoft) обнаружили целое семейство критических уязвимостей в функциях выделения памяти, которые используются в операционных системах и SDK для IoT- и OT-устройств. Проблему назвали BadAlloc — и она может затронуть очень широкий круг оборудования: от бытовой и медицинской электроники до промышленных систем управления.
Что не так с памятью
По данным Microsoft, речь идёт как минимум о 25 CVE. Их объединяет одна причина: стандартные функции выделения памяти — malloc, calloc, realloc, memalign, valloc, pvalloc и другие — во многих реализациях RTOS (операционных систем реального времени), встраиваемых SDK и библиотек libc написаны без надлежащей проверки входных данных.
Из-за этого злоумышленник может спровоцировать переполнение кучи (heap overflow) и в итоге выполнить произвольный вредоносный код на устройстве — либо просто обрушить систему. В компании подчеркнули: подобные ошибки годами тиражировались при разработке встраиваемого софта для IoT именно потому, что валидация входных данных в функциях выделения памяти считалась второстепенной задачей.
Кто под ударом
Расследование Microsoft проводилось в координации с Министерством внутренней безопасности США (DHS). В список затронутых поставщиков попали Amazon, ARM, Cesanta, Google Cloud, Samsung, Texas Instruments и Tencent. US-CERT также указывает, что проблема касается ряда open-source продуктов.
По оценке Microsoft, из-за массовости IoT- и OT-устройств потенциальный ущерб от эксплуатации BadAlloc может быть очень значительным для организаций любого масштаба. На момент публикации предупреждения компания не фиксировала фактов эксплуатации уязвимостей в реальных атаках, но настоятельно рекомендовала как можно скорее устанавливать патчи.
Как снизить риск
Пока не все устройства получили обновления, Microsoft и DHS советуют закрывать поверхность атаки другими способами:
- внедрять сетевой мониторинг для выявления поведенческих признаков компрометации;
- усиливать сегментацию сети, чтобы защитить критически важные активы;
- исключать ненужные подключения OT-систем управления к интернету;
- при необходимости удалённого доступа использовать VPN с многофакторной аутентификацией;
- изолировать IoT- и OT-сети от корпоративной ИТ-инфраструктуры с помощью межсетевых экранов.
Отдельно в DHS напомнили, что сами VPN-шлюзы также могут содержать уязвимости, поэтому их нужно обновлять до актуальных версий, а не рассматривать как безусловно безопасный периметр.
Источник: Cybersecurity News.