今天早上我看到Mbed OS的博文报道了此事。 从此次发布的报告来看,受影响的系统基本都是知名操作系统。
1. Azure Defender for IoT 安全研究团队最近在 IoT 和 OT 设备中发现了一系列严重的内存分配漏洞,攻击者可利用这些漏洞绕过安全控制来执行恶意代码或导致系统崩溃。
这些远程代码执行 (RCE) 漏洞涵盖超过 25 个 CVE,可能影响从消费者和医疗物联网到工业物联网、运营技术 (OT) 和工业控制系统的广泛领域。
这些漏洞存在于广泛使用的实时操作系统 (RTOS)、嵌入式软件开发工具包 (SDK) 和 C 标准库 (libc) 实现中的标准内存分配函数中。 这些调查结果已通过 Microsoft 安全响应中心 (MSRC) 和国土安全部 (DHS) 主导的负责任的披露与供应商共享,使这些供应商能够调查和修补漏洞。
2. 考虑到物联网和OT设备的普遍存在,这些漏洞如果被成功利用,将对各个组织构成巨大的潜在风险。 迄今为止,微软尚未发现任何迹象表明这些漏洞已被利用。 但是,强烈建议尽快修补他们的系统。
同时限制联网的软件,请考虑修补 IoT/OT 设备可能很复杂。 对于无法立即修补的设备限制联网的软件,建议采取缓解控制措施,例如通过最大限度地减少或消除易受攻击的设备暴露在网络中来减少攻击面,以及实施网络安全监控以发现妥协的行为指标。
3. 请注意,Microsoft 的 Azure RTOS ThreadX 在其默认配置下不易受到攻击。
1.“BadAlloc”:通过易受攻击的内存功能运行恶意代码
“BadAlloc”是 Microsoft 第 52 条为一系列漏洞指定的名称,这些漏洞描述了嵌入式 IoT 和 OT 操作系统和软件中发现的此类内存溢出漏洞。 所有这些漏洞都源于使用易受攻击的内存函数,例如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。研究表明,多年来作为物联网设备和嵌入式软件的一部分编写的内存分配实现没有包含正确的输入验证。 如果没有这些输入验证,攻击者就可以利用内存分配功能来执行堆溢出,从而导致在目标设备上执行恶意代码。
内存分配漏洞可以通过调用内存分配函数(例如 malloc(VALUE))来调用,其中 VALUE 参数是从外部输入动态派生的,并且足够大以触发整数溢出或换行。 概念如下:当发送值时,返回的结果是新分配的内存缓冲区。 尽管由于回滚,分配的内存大小仍然很小,但与内存分配相关的有效负载超出了实际分配的缓冲区,导致堆溢出。 堆溢出使攻击者能够在目标设备上执行恶意代码。 这是一个“BadAlloc”示例:
2. 缓解“BadAlloc”漏洞
对于拥有 IoT 和 OT 设备的组织,建议采取以下缓解措施:
补丁:
请按照供应商的说明对受影响的产品应用补丁。
如果您无法修补,请监控:
由于大多数旧版 IoT 和 OT 设备不支持代理,因此请使用支持 IoT/OT 的网络检测和响应 (NDR) 解决方案(例如 Azure Defender for IoT)和 SIEM/SOAR 解决方案(例如 Azure Sentinel)来自动检测并持续监控设备异常或未经授权的行为,例如与不熟悉的本地或远程主机进行通信。 这些是实施 IoT/OT 零信任策略的基本要素。
减少攻击面
通过消除与 OT 控制系统不必要的互联网连接并在需要远程访问时使用多重身份验证 (MFA) 来实现 VPN 访问。 国土安全部警告称,VPN 设备也可能容易受到攻击,应更新至可用的最新版本。
网络分段
网络分段对于零信任很重要,因为它限制了攻击者在初始危害后横向移动和危害关键设备的能力。 特别是,应使用防火墙将 IoT 设备和 OT 网络与企业 IT 网络隔离。
操作系统和 C 库中的安全漏洞:
目前bug修复进度:
