Des chercheurs de Microsoft ont révélé jeudi deux douzaines de vulnérabilités affectant un large éventail de périphériques Internet des objets (IoT) et de technologie opérationnelle (OT) utilisés dans les réseaux industriels, médicaux et d’entreprise qui pourraient être utilisés de manière abusive par des adversaires pour exécuter du code arbitraire et même provoquer des systèmes critiques. s’écraser.

« Ces vulnérabilités d’exécution de code à distance (RCE) couvrent plus de 25 CVE et affectent potentiellement un large éventail de domaines, de l’IoT grand public et médical à l’IoT industriel, à la technologie opérationnelle et aux systèmes de contrôle industriels », mentionné Groupe de recherche Microsoft ‘Section 52’ Azure Defender for IoT.

Les défauts ont été nommés collectivement « BadAlloc, « car ils sont ancrés dans la norme fonctions d’allocation de mémoire couvrant les systèmes d’exploitation en temps réel (RTOS) largement utilisés, les kits de développement de logiciels intégrés (SDK) et les implémentations de bibliothèques standard C (libc). Un manque de validations d’entrée appropriées associées à ces fonctions d’allocation de mémoire pourrait permettre à un adversaire d’effectuer un débordement de tas, conduisant à l’exécution de code malveillant sur un périphérique vulnérable.

« L’exploitation réussie de ces vulnérabilités pourrait entraîner un comportement inattendu tel qu’un crash ou une injection / exécution de code à distance », la Cybersecurity and Infrastructure Security Agency (CISA) mentionné dans un avis. Ni Microsoft ni CISA n’ont publié de détails sur le nombre total d’appareils affectés par les bogues logiciels.

La liste complète des périphériques concernés par BadAlloc est la suivante –

• Amazon FreeRTOS, version 10.4.1
• Système d’exploitation Apache Nuttx, version 9.1.0
• ARM CMSIS-RTOS2, versions antérieures à 2.1.3
• OS ARM Mbed, version 6.3.0
• ARM mbed-uallaoc, version 1.3.0
• Logiciel Cesanta OS Mongoose, v2.17.0
• eCosCentric eCosPro RTOS, versions 2.0.1 à 4.5.3
• SDK pour appareil Google Cloud IoT, version 1.0.2
• Linux Zephyr RTOS, versions antérieures à 2.4.0
• SDK MediaTek LinkIt, versions antérieures à 4.6.1
• Micrium OS, versions 5.10.1 et antérieures
• Micrium uCOS II / uCOS III Versions 1.39.0 et antérieures
• SDK NXP MCUXpresso, versions antérieures à 2.8.2
• NXP MQX, versions 5.1 et antérieures
• Redhat newlib, versions antérieures à 4.0.0
• Système d’exploitation RIOT, version 2020.01.1
• Samsung Tizen RT RTOS, versions antérieures à 3.0.GBB
• TencentOS-tiny, version 3.1.0
• Texas Instruments CC32XX, versions antérieures à 4.40.00.07
• Texas Instruments SimpleLink MSP432E4XX
• Texas Instruments SimpleLink-CC13XX, versions antérieures à 4.40.00
• Texas Instruments SimpleLink-CC26XX, versions antérieures à 4.40.00
• Texas Instruments SimpleLink-CC32XX, versions antérieures à 4.10.03
• Uclibc-NG, versions antérieures à 1.0.36
• Windriver VxWorks, antérieur à la version 7.0

Microsoft a déclaré n’avoir trouvé aucune preuve de l’exploitation de ces vulnérabilités à ce jour, bien que la disponibilité des correctifs puisse permettre à un mauvais acteur d’utiliser une technique appelée « patch diffing » pour faire de l’ingénierie inverse des correctifs et en tirer parti pour potentiellement militariser les versions vulnérables du Logiciel.

Pour minimiser le risque d’exploitation de ces vulnérabilités, CISA recommande aux organisations d’appliquer les mises à jour des fournisseurs dès que possible, d’ériger des barrières pare-feu, d’isoler les réseaux système des réseaux d’entreprise et de réduire l’exposition des dispositifs du système de contrôle pour s’assurer qu’ils restent inaccessibles à partir d’Internet.