微軟旗下的資安研究團隊,發現多達25個IoT裝置與OT裝置的漏洞,影響範圍遍及多種重要產業。
微軟旗下Azure雲端服務的資安研究團隊Section 52,日前發現多達25個IoT(Internetof Things)裝置與OT(Operational Technology)裝置的漏洞,影響範圍遍及製造業、醫療產業及大型企業等多種重要產業的網路、裝置與製造系統。
據微軟表示,這些漏洞共有25個不同的CVE編號,合稱為「BadAlloc」;駭侵者可以利用這些漏洞,在各種IoT與OT裝置上誘發記憶體配置錯誤,藉以在這些裝置上遠端執行任意程式碼。
這些記憶體配置錯誤造成的RCE資安漏洞,廣泛存在於各種即時作業系統(Real-Time Operating System, RTOS)、嵌入式裝置的軟體開發套件(SDK)與C語言的標準程式庫(Libc)等。
此外,微軟也在第一時間通報美國國土安全部(DHS)與各裝置製造商,DHS旗下的資安主管機關網路安全暨基礎設施安全局(Cybersecirity and Infrastructure Security Agency, CISA)也發布資安通報,列出所有含有這批BacAlloc漏洞的裝置與軟體開發套件,其中包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。
微軟指出,由於這些IoT與OT裝置的使用範圍極為廣泛,製造維護廠家眾多,因此難以全面更新並防堵漏洞,但建議可取得更新之產品用戶,應立即更新至最新版本,以免漏洞遭有心人士利用而造成用戶被駭。
- 建議採取資安強化措施
雖然目前微軟尚未觀察到任何濫用這批漏洞而行的攻擊事件,但為避免接下來發生大規模攻擊事件,微軟建議這類產品用戶可以:
- 透過官方釋出已公告之更新版檔案,立即進行更新。
- 若是無法更新產品,也應嚴加防範,並且減少這類產品直接曝露在Internet上的程度,並且將內部網路分區隔開,避免及縮小惡意軟體在內網散布的範圍。如果需要遠端存取這些裝置,就必須使用安全連線。
- 相關參考連結
ICS Advisory (ICSA-21-119-04) Multiple RTOS (Update A)
https://us-cert.cisa.gov/ics/advisories/icsa-21-119-04
“BadAlloc” – Memory allocation vulnerabilities could affect wide range of IoT and OT devices in industrial, medical, and enterprise networks
Microsoft Discovers 25 Critical Vulnerabilities in IoT Security Affecting Google, Amazon, Samsung, and Other Devices, SDKs and Libraries
留言列表
資安宣導 (2)
