Los investigadores de Microsoft revelaron el jueves dos docenas de vulnerabilidades que afectan a una amplia gama de dispositivos de Internet de las cosas (IoT) y de tecnología operativa (OT) utilizados en redes industriales, médicas y empresariales que podrían ser objeto de abuso por parte de los adversarios para ejecutar código arbitrario e incluso provocar sistemas críticos. chocar.

«Estas vulnerabilidades de ejecución remota de código (RCE) cubren más de 25 CVE y potencialmente afectan una amplia gama de dominios, desde IoT médico y de consumo hasta IoT industrial, tecnología operativa y sistemas de control industrial», dijo Azure Defender de la ‘Sección 52’ de Microsoft para grupo de investigación IoT.

Los defectos han sido denominados colectivamente «BadAlloc«ya que tienen su origen en funciones de asignación de memoria estándar que abarcan sistemas operativos en tiempo real (RTOS) ampliamente utilizados, kits de desarrollo de software integrados (SDK) e implementaciones de la biblioteca estándar C (libc). La falta de validaciones de entrada adecuadas asociadas con estas memorias las funciones de asignación podrían permitir que un adversario realice un desbordamiento de montón, lo que lleva a la ejecución de código malicioso en un dispositivo vulnerable.

«La explotación exitosa de estas vulnerabilidades podría resultar en un comportamiento inesperado, como un bloqueo o una inyección/ejecución remota de código», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en un aviso. Ni Microsoft ni CISA han publicado detalles sobre la cantidad total de dispositivos afectados por los errores de software.

La lista completa de dispositivos afectados por BadAlloc es la siguiente:

• Amazon FreeRTOS, versión 10.4.1
• Sistema operativo Apache Nuttx, versión 9.1.0
• ARM CMSIS-RTOS2, versiones anteriores a la 2.1.3
• SO ARM Mbed, versión 6.3.0
• ARM mbed-uallaoc, Versión 1.3.0
• Cesanta Software mangosta OS, v2.17.0
• eCosCentric eCosPro RTOS, versiones 2.0.1 a 4.5.3
• SDK para dispositivos de Google Cloud IoT, versión 1.0.2
• Linux Zephyr RTOS, versiones anteriores a la 2.4.0
• MediaTek LinkIt SDK, versiones anteriores a 4.6.1
• Micrium OS, versiones 5.10.1 y anteriores
• Micrium uCOS II / uCOS III Versiones 1.39.0 y anteriores
• NXP MCUXpresso SDK, versiones anteriores a 2.8.2
• NXP MQX, versiones 5.1 y anteriores
• Redhat newlib, versiones anteriores a 4.0.0
• SO RIOT, versión 2020.01.1
• Samsung Tizen RT RTOS, versiones anteriores a 3.0.GBB
• TencentOS-tiny, versión 3.1.0
• Texas Instruments CC32XX, versiones anteriores a 4.40.00.07
• Texas Instruments Simple Link MSP432E4XX
• Texas Instruments SimpleLink-CC13XX, versiones anteriores a la 4.40.00
• Texas Instruments SimpleLink-CC26XX, versiones anteriores a la 4.40.00
• Texas Instruments SimpleLink-CC32XX, versiones anteriores a 4.10.03
• Uclibc-NG, versiones anteriores a la 1.0.36
• Windriver VxWorks, anterior a 7.0

Microsoft dijo que no ha encontrado evidencia de que estas vulnerabilidades hayan sido explotadas hasta la fecha, aunque la disponibilidad de los parches podría permitir que un mal actor use una técnica llamada «diferencia de parches» para aplicar ingeniería inversa a los arreglos y aprovecharla para convertir potencialmente en armas las versiones vulnerables del software. software.

Para minimizar el riesgo de explotación de estas vulnerabilidades, CISA recomienda a las organizaciones que apliquen las actualizaciones de los proveedores lo antes posible, levanten barreras de cortafuegos, aíslen las redes del sistema de las redes comerciales y reduzcan la exposición de los dispositivos del sistema de control para garantizar que permanezcan inaccesibles desde Internet.