I ricercatori di Microsoft hanno scoperto diverse vulnerabilità critiche di esecuzione di codice remoto (RCE) nei dispositivi Internet of Things (IoT) e nei sistemi industriali di Operational Technology (OT).

Questi 25 difetti di sicurezza sono noti come BadAlloc, sono causati dall'allocazione della memoria in Integer Overflow o da bug chiamati di wraparound .

I criminali informatici possono sfruttarli per attivare degli arresti anomali nei sistemi (DoS) oppure per eseguire codice dannoso da remoto (Appunto Remote Code Execution o RCE) sui sistemi IoT e OT vulnerabili.

Le vulnerabilità sono state trovate dai ricercatori di Microsoft nelle funzioni di allocazione della memoria standard che sono ampiamente utilizzate in più sistemi operativi che lavorano in ​​tempo reale (RTOS), oltre che in implementazioni di librerie standard C (libc) e kit di sviluppo software integrato (SDK).

"La nostra ricerca mostra che le implementazioni di allocazione della memoria scritte nel corso degli anni come parte di dispositivi IoT e software embedded non hanno incorporato convalide di input adeguate"

ha affermato il team del Microsoft Security Response Center.

"Un utente malintenzionato potrebbe sfruttare la funzione di allocazione della memoria per eseguire un heap overflow con conseguente esecuzione di codice dannoso su un dispositivo di destinazione".

I prodotti interessati sono davvero tanti:

• Amazon FreeRTOS, versione 10.4.1

• Sistema operativo Apache Nuttx, versione 9.1.0

• ARM CMSIS-RTOS2, versioni precedenti alla 2.1.3

• Sistema operativo ARM Mbed, versione 6.3.0

• ARM mbed-uallaoc, versione 1.3.0

• Cesanta Software Mongoose OS, v2.17.0

• eCosCentric eCosPro RTOS, versioni da 2.0.1 a 4.5.3

• Google Cloud IoT Device SDK, versione 1.0.2

• Linux Zephyr RTOS, versioni precedenti alla 2.4.0

• Media Tek LinkIt SDK, versioni precedenti alla 4.6.1

• Micrium OS, versioni 5.10.1 e precedenti

• Micrium uCOS II / uCOS III Versioni 1.39.0 e precedenti

• NXP MCUXpresso SDK, versioni precedenti alla 2.8.2

• NXP MQX, versioni 5.1 e precedenti

• Redhat newlib, versioni precedenti alla 4.0.0

• RIOT OS, versione 2020.01.1

• Samsung Tizen RT RTOS, versioni precedenti alla 3.0 GBB

• TencentOS-tiny, versione 3.1.0

• Texas Instruments CC32XX, versioni precedenti alla 4.40.00.07

• Texas Instruments SimpleLink MSP432E4XX

• Texas Instruments SimpleLink-CC13XX, versioni precedenti alla 4.40.00

• Texas Instruments SimpleLink-CC26XX, versioni precedenti alla 4.40.00

• Texas Instruments SimpleLink-CC32XX, versioni precedenti alla 4.10.03

• Uclibc-NG, versioni precedenti alla 1.0.36

• Windriver VxWorks, prima della 7.0

Le vulnerabilità sono state individuate e segnalate alla CISA degli Stati Uniti D'America e ai fornitori interessati dai ricercatori David Atch, Omri Ben Bassat e Tamir Ariel del gruppo di ricerca Azure Defender for IoT di Microsoft "Section 52".

Per ridurre il rischio di sfruttamento, CISA consiglia alle organizzazioni che utilizzano dispositivi vulnerabili agli attacchi BadAlloc di:

• Applicare gli aggiornamenti del fornitore disponibili;

• Ridurre al minimo l'esposizione in rete per tutti i dispositivi e / o sistemi di controllo e assicurarsi che non siano accessibili da Internet;

• Individuare le reti del sistema di controllo e i dispositivi remoti dietro i firewall e isolarli dalla rete aziendale;

• Quando è richiesto l'accesso remoto, utilizzare metodi sicuri, come