Microsoft encuentra fallas ‘BadAlloc’ que afectan una amplia gama de dispositivos IoT y OT

Los investigadores de Microsoft revelaron una veintena de vulnerabilidades que afectan a una amplia gama de dispositivos IoT y tecnología operativa (OT) utilizados en redes industriales, médicas y empresariales que podrían ser abusados ​​para ejecutar código arbitrario e incluso causar sistemas críticos.

Según el equipo de seguridad de IoT en el Centro de Respuesta de Seguridad de Microsoft, las fallas afectan al menos a 25 productos diferentes, fabricados por más de una docena de organizaciones, incluidas Amazon, ARM, Google Cloud, Samsung, RedHat, Apache y otras. Hasta ahora, los exploits que aprovechan las vulnerabilidades no se han detectado en la naturaleza, pero ofrecen a los atacantes potenciales una amplia superficie para hacer daño.

“Dada la omnipresencia de los dispositivos de IoT y OT, estas vulnerabilidades, si se explotan con éxito, representan un riesgo potencial significativo para organizaciones de todo tipo”, escribió Microsoft.

Las fallas se han denominado colectivamente » BadAlloc ”, ya que tienen su origen en funciones de asignación de memoria estándar que abarcan sistemas operativos en tiempo real (RTOS) ampliamente utilizados, kits de desarrollo de software integrados (SDK) e implementaciones de bibliotecas estándar C (libc). La falta de validaciones de entrada adecuadas asociadas con estas funciones de asignación de memoria podría permitir a un adversario realizar un desbordamiento de pila, lo que llevaría a la ejecución de código malicioso en un dispositivo vulnerable.

«La explotación exitosa de estas vulnerabilidades podría provocar un comportamiento inesperado, como un accidente o una inyección remota de código / ejecución», la ciberseguridad de Estados Unidos y la Agencia de Seguridad de Infraestructura (CISA) dijo en un aviso. Ni Microsoft ni CISA han publicado detalles sobre el número total de dispositivos afectados por los errores de software.

La lista completa de dispositivos afectados por BadAlloc es la siguiente:

  • Amazon FreeRTOS, versión 10.4.1
  • Apache Nuttx OS, versión 9.1.0
  • ARM CMSIS-RTOS2, versiones anteriores a 2.1.3
  • ARM Mbed OS, versión 6.3.0
  • ARM mbed-uallaoc, versión 1.3.0
  • Software Cesanta Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, versiones 2.0.1 a 4.5.3
  • SDK de dispositivos de Google Cloud IoT, versión 1.0.2
  • Linux Zephyr RTOS, versiones anteriores a 2.4.0
  • MediaTek LinkIt SDK, versiones anteriores a 4.6.1
  • Micrium OS, versiones 5.10.1 y anteriores
  • Micrium uCOS II / uCOS III Versiones 1.39.0 y anteriores
  • NXP MCUXpresso SDK, versiones anteriores a 2.8.2
  • NXP MQX, versiones 5.1 y anteriores
  • Redhat newlib, versiones anteriores a 4.0.0
  • RIOT OS, versión 2020.01.1
  • Samsung Tizen RT RTOS, versiones anteriores a 3.0.GBB
  • TencentOS-tiny, versión 3.1.0
  • Texas Instruments CC32XX, versiones anteriores a 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versiones anteriores a 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versiones anteriores a 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versiones anteriores a 4.10.03
  • Uclibc-NG, versiones anteriores a 1.0.36
  • Windriver VxWorks, anterior a 7.0

Para minimizar el riesgo de explotación de estas vulnerabilidades, CISA recomienda que las organizaciones apliquen las actualizaciones de los proveedores lo antes posible, erijan barreras de firewall, aíslen las redes del sistema de las redes comerciales y reduzcan la exposición de los dispositivos del sistema de control para asegurarse de que permanezcan inaccesibles desde Internet.