这25个安全漏洞统称为BadAlloc,由内存分配整数溢出(IntegerOverflow)或环绕错误(Wraparound)引起。攻击者可以利用这些漏洞导致系统崩溃,并在受感染的IoT和OT系统上远程执行恶意代码。Microsoft研究人员在多个实时操作系统(RTOS)、C标准库(libc)实现和嵌入式软件开发工具包(SDK)中广泛使用的标准内存分配函数中发现了漏洞。微软安全响应中心团队表示:作为物联网设备和嵌入式软件的一部分,多年来编写的内存分配实现没有进行适当的输入验证,允许攻击者使用内存分配功能进行堆溢出,从而导致目标设备失败.执行恶意代码。“BadAlloc”的示例如下:易受BadAlloc漏洞影响的设备易受BadAlloc漏洞影响的物联网和OT设备主要存在于消费、医疗和工业网络中。受影响设备的完整列表如下:AmazonFreeRTOS10.4.1ApacheNuttxOS9.1.0ARMCMSIS-RTOS22.1.3之前ARMMbedOS6.3.0ARMmbed-uallaoc1.3.0CesantaSoftwareMongooseOSv2.17.0eCosCentriceCosProRTOS2.0.1至4.5.3GoogleCloudIoTDeviceSDK1.0.2LinuxZephyrRTOS早于2.4.0MediaTekLinkItSDK早于4.6.1MicriumOS5.10.1和更早的MicriumuCOSII/uCOSIII1.39。0和更早版本NXPMCUXpressoSDK2.8.2更早版本NXPPuMQX5.1和更早版本Redhatnewlib4.0.0更早版本RIOTOS2020.01.1SamsungTizenRTRTOS3.0.GBB更早版本TencentOS-tiny3.1.0TexasInstruments(TI)CC32XX4.40之前。00.07TexasInstruments(TI)SimpleLinkMSP432E4XXTexasInstruments(TI)SimpleLink-CC13XX4.40.00之前的版本TexasInstruments(TI)SimpleLink-CC26XX4.40.00之前的版本TexasInstruments(TI)SimpleLink-CC32XX4.10.03之前的版本Uclibc-NG1.0.36之前的版本WindriverVxWorks7.0之前的版本已报告缓解漏洞toCISA和相关供应商。尽管尚未发现对相关漏洞的野外利用,但为降低利用风险,CISA建议组织执行以下操作:应用可用的供应商更新。减少所有控制系统设备及其系统的网络暴露,并确保它们无法从Internet访问。将控制系统网络和远程设备置于防火墙之后,并将它们与业务网络隔离开来。当需要远程访问时,使用虚拟专用网络等安全方法。如果易受攻击的设备无法立即修补,Microsoft建议:最大限度地减少或消除易受攻击的设备暴露在Internet上的情况实施网络安全监控以检测危害行为指标;强化网络分段以保护关键资产。参考来源:bleepingcomputer
