【響起警號】Microsoft 發現物聯網及工業科技記憶體分配漏洞
Microsoft 被稱為 Section 52 的 Azure Defender for IoT 安全研究小組近日發現,物聯網和營運技術(Operational Technology,OT)裝置上,有一系列的記憶體分配漏洞,可用來執行惡意程式。這個目前盛行的漏洞名為 BadAlloc,與不正確驗證的輸入有關,而這個漏洞會導致堆溢出,並最終執行這些代碼。
研究小組在發文指,這些漏洞都源於使用記憶體容易受攻擊的功能,如 malloc、calloc、realloc、memalign、valloc、pvalloc 等。當傳遞外部輸入時,這些函數就會出現問題,因為這些外部輸入可能導致整數溢出或迴繞函數,折回的結果是重新分配記憶體緩衝區。小組又指,儘管折回而分配的記憶體不多,但令與記憶體分配相關的負載,超過了實際緩衝區分配,導致了溢出;缺乏輸入驗證令入侵者開採記憶體分配功能,造成堆積溢位,而令他們可於目標裝置上執行任意程式。
Microsoft 正與美國國土安全部合作,向受影響的供應商發出警報,並修復漏洞。在通報中所示的受影響產品來自 Google Cloud、Arm、Amazon、Red Hat、Texas Instruments 及 Samsung Tizen 的設備。通用漏洞評分系統 v3 (Common Vulnerability Scoring System, CVSS v3)評分由 Samsung Tizen 的 3.2 至 Red Hat newlib version 4前的版本的 9.8。
Microsoft 建議修補受影響的產品,但由於工業設備難以更新,建議在可能的情況下,斷開設備與互聯網的連接,或將裝置放於具有 2FA 身份驗證的 VPN 保護內,作網絡安全和監視,並使用網絡分段來保護關鍵資產。小組指,網絡分段對於零信任(zero trust)至關重要,因為它會限制攻擊者在最初入侵後的橫向移動,以及損害資產的能力,並應使用防火牆將物聯網設備及 OT 網絡,與公司的 IT 網絡隔離。
