O grupo de pesquisa de segurança Azure Defender for IoT anunciou ontem ter descoberto recentemente uma série de vulnerabilidades críticas de alocação de memória em dispositivos IoT e OT, que podem ser explorados para contornar os controles de segurança e no limite permitir a execução de código malicioso ou causar falhas em sistema. O problema está registrado em 25 CVEs e potencialmente afetam uma ampla gama de domínios, segundo informa a Microsoft, que vão desde IoT médica e de consumidores até IoT industrial, Tecnologia operacional (OT) e sistemas de controle industrial.
Dada a difusão dos dispositivos IoT e OT, essas vulnerabilidades, se exploradas com sucesso, representam um risco potencial significativo para organizações de todos os tipos. Até o momento, a Microsoft não viu nenhuma indicação de exploração dessas vulnerabilidades. No entanto, a empresa alerta as organizações para que corrijam imediatamente seus sistemas.
Veja isso
Nova aliança visa proteger tecnologia operacional
Falhas em pilhas TCP/IP abrem portas para ataques a dispositivos IoT e OT
As vulnerabilidades, informa o boletim da empresa, existem nas funções de alocação de memória padrão, abrangendo sistemas operacionais em tempo real (RTOS) amplamente usados, kits de desenvolvimento de software integrado (SDKs) e implementações de biblioteca padrão C (libc). Essas descobertas foram compartilhadas com os fornecedores por meio de divulgação responsável do Microsoft Security Response Center (MSRC) e pelo Departamento de Segurança Interna (DHS) dos EUA, permitindo que eles investiguem e corrijam as vulnerabilidades.
Os sistemas afetados são os seguintes:
- Amazon FreeRTOS, Version 10.4.1
- Apache Nuttx OS, Version 9.1.0
- ARM CMSIS-RTOS2, versions prior to 2.1.3
- ARM Mbed OS, Version 6.3.0
- ARM mbed-uallaoc, Version 1.3.0
- Cesanta Software Mongoose OS, v2.17.0
- eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
- Google Cloud IoT Device SDK, Version 1.0.2
- Linux Zephyr RTOS, versions prior to 2.4.0
- Media Tek LinkIt SDK, versions prior to 4.6.1
- Micrium OS, Versions 5.10.1 and prior
- Micrium uCOS II/uCOS III Versions 1.39.0 and prior
- NXP MCUXpresso SDK, versions prior to 2.8.2
- NXP MQX, Versions 5.1 and prior
- Redhat newlib, versions prior to 4.0.0
- RIOT OS, Version 2020.01.1
- Samsung Tizen RT RTOS, versions prior 3.0.GBB
- TencentOS-tiny, Version 3.1.0
- Texas Instruments CC32XX, versions prior to 4.40.00.07
- Texas Instruments SimpleLink MSP432E4XX
- Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
- Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
- Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
- Uclibc-NG, versions prior to 1.0.36
- Windriver VxWorks, prior to 7.0
Com agências de notícias internacionais