Bug de alocação de memória em 25 sistemas operacionais de OT e IoT

Da Redação
30/04/2021

O grupo de pesquisa de segurança Azure Defender for IoT anunciou ontem ter descoberto recentemente uma série de vulnerabilidades críticas de alocação de memória em dispositivos IoT e OT, que podem ser explorados para contornar os controles de segurança e no limite permitir a execução de código malicioso ou causar falhas em sistema. O problema está registrado em 25 CVEs e potencialmente afetam uma ampla gama de domínios, segundo informa a Microsoft, que vão desde IoT médica e de consumidores até IoT industrial, Tecnologia operacional (OT) e sistemas de controle industrial.

Dada a difusão dos dispositivos IoT e OT, essas vulnerabilidades, se exploradas com sucesso, representam um risco potencial significativo para organizações de todos os tipos. Até o momento, a Microsoft não viu nenhuma indicação de exploração dessas vulnerabilidades. No entanto, a empresa alerta as organizações para que corrijam imediatamente seus sistemas.

Veja isso
Nova aliança visa proteger tecnologia operacional
Falhas em pilhas TCP/IP abrem portas para ataques a dispositivos IoT e OT

As vulnerabilidades, informa o boletim da empresa, existem nas funções de alocação de memória padrão, abrangendo sistemas operacionais em tempo real (RTOS) amplamente usados, kits de desenvolvimento de software integrado (SDKs) e implementações de biblioteca padrão C (libc). Essas descobertas foram compartilhadas com os fornecedores por meio de divulgação responsável do Microsoft Security Response Center (MSRC) e pelo Departamento de Segurança Interna (DHS) dos EUA, permitindo que eles investiguem e corrijam as vulnerabilidades.

Os sistemas afetados são os seguintes:

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0 
  • ARM CMSIS-RTOS2, versions prior to 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions prior to 2.4.0
  • Media Tek LinkIt SDK, versions prior to 4.6.1
  • Micrium OS, Versions 5.10.1 and prior
  • Micrium uCOS II/uCOS III Versions 1.39.0 and prior
  • NXP MCUXpresso SDK, versions prior to 2.8.2
  • NXP MQX, Versions 5.1 and prior
  • Redhat newlib, versions prior to 4.0.0
  • RIOT OS, Version 2020.01.1 
  • Samsung Tizen RT RTOS, versions prior 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions prior to 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
  • Uclibc-NG, versions prior to 1.0.36 
  • Windriver VxWorks, prior to 7.0

Com agências de notícias internacionais

Compartilhar: