Microsoft encuentra errores críticos de ejecución de código en dispositivos IoT y OT

 

Los investigadores de seguridad de Microsoft han descubierto más de dos docenas de vulnerabilidades críticas de ejecución remota de código (RCE) en dispositivos de Internet de las cosas (IoT) y sistemas industriales de tecnología operativa (OT).

Estas 25 fallas de seguridad se conocen colectivamente como  BadAlloc y son causadas por errores de desbordamiento de enteros o errores de Wraparound en la asignación de memoria  .

Los actores de amenazas pueden explotarlos para desencadenar fallas del sistema y ejecutar código malicioso de forma remota en sistemas vulnerables de IoT y OT.

Los investigadores de Microsoft encontraron las vulnerabilidades en funciones de asignación de memoria estándar ampliamente utilizadas en múltiples sistemas operativos en tiempo real (RTOS), implementaciones de bibliotecas estándar C (libc) y kits de desarrollo de software integrados (SDK).

"Nuestros programas de investigación que las implementaciones de asignación de memoria escritas a lo largo de los años como parte de los dispositivos IO y software integrado no han incorporado las validaciones de entrada adecuados," el equipo de Microsoft Security Response Center dijo .

"Sin estas validaciones de entrada, un atacante podría aprovechar la función de asignación de memoria para realizar un desbordamiento de pila, lo que provocaría la ejecución de código malicioso en un dispositivo de destino".

Dispositivos vulnerables a los ataques de BadAlloc

Los dispositivos de IoT y OT vulnerables afectados por las vulnerabilidades de BadAlloc se pueden encontrar en redes de consumidores, médicas e industriales. 

La lista completa de dispositivos afectados por BadAlloc incluye (los enlaces a los parches están disponibles en el aviso de CISA ):

  • Amazon FreeRTOS, versión 10.4.1
  • Apache Nuttx OS, versión 9.1.0 
  • ARM CMSIS-RTOS2, versiones anteriores a 2.1.3
  • ARM Mbed OS, versión 6.3.0
  • ARM mbed-uallaoc, versión 1.3.0
  • Software Cesanta Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, versiones 2.0.1 a 4.5.3
  • SDK de dispositivo de Google Cloud IoT, versión 1.0.2
  • Linux Zephyr RTOS, versiones anteriores a 2.4.0
  • Media Tek LinkIt SDK, versiones anteriores a 4.6.1
  • Micrium OS, versiones 5.10.1 y anteriores
  • Micrium uCOS II / uCOS III Versiones 1.39.0 y anteriores
  • NXP MCUXpresso SDK, versiones anteriores a 2.8.2
  • NXP MQX, versiones 5.1 y anteriores
  • Redhat newlib, versiones anteriores a 4.0.0
  • RIOT OS, versión 2020.01.1 
  • Samsung Tizen RT RTOS, versiones anteriores a 3.0.GBB
  • TencentOS-tiny, versión 3.1.0
  • Texas Instruments CC32XX, versiones anteriores a 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versiones anteriores a 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versiones anteriores a 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versiones anteriores a 4.10.03
  • Uclibc-NG, versiones anteriores a 1.0.36 
  • Windriver VxWorks, anterior a 7.0

Mitigación de BadAlloc

Las vulnerabilidades fueron encontradas e informadas a CISA y a los proveedores afectados por los investigadores de seguridad David Atch, Omri Ben Bassat y Tamir Ariel del grupo de investigación Azure Defender for IoT 'Section 52' de Microsoft.

Para reducir el riesgo de explotación, CISA recomienda a las organizaciones que utilizan dispositivos vulnerables a los ataques BadAlloc para:

  • Aplicar las actualizaciones de proveedores disponibles.
  • Minimice la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet .
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial.
  • Cuando se requiera acceso remoto, use métodos seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. Además, recuerde que la VPN es tan segura como sus dispositivos conectados.

Si los dispositivos vulnerables no se pueden parchear de inmediato, Microsoft advierte:

  • Reducir la superficie de ataque minimizando o eliminando la exposición de dispositivos vulnerables a Internet;
  • Implementar monitoreo de seguridad de la red para detectar indicadores de comportamiento de compromiso;
  • Fortalecimiento de la segmentación de la red para proteger los activos críticos.

CISA también proporciona  prácticas recomendadas de seguridad de sistemas de control  y un documento de información técnica sobre  estrategias de detección y mitigación de ciberatrusiones dirigidas .

Si bien Microsoft no ha detectado hasta ahora ninguna explotación activa de BadAlloc en estado salvaje, CISA solicita a las organizaciones que informen de cualquier actividad maliciosa dirigida a ellos para facilitar el seguimiento.

La Agencia de Seguridad Nacional (NSA) publicó hoy un aviso de seguridad  sobre la evaluación de los riesgos de conexión de TI y OT, y la prevención y detección de actividades maliciosas.

Fuente: https://www.bleepingcomputer.com/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila

 

Publicar un comentario

0 Comentarios