Peneliti Microsoft pada hari Kamis mengungkapkan dua lusin kerentanan ‘BadAlloc’ yang memengaruhi berbagai perangkat Internet of Things (IoT) dan Operational Technology (OT).
Yang mana perangkat tersebut sebagian besar digunakan dalam jaringan industri, medis, dan perusahaan yang dapat disalahgunakan oleh musuh. Untuk mengeksekusi kode arbitrer dan bahkan menyebabkan sistem kritis. menabrak.
“Kerentanan eksekusi kode jarak jauh (RCE) ini mencakup lebih dari 25 CVE dan berpotensi memengaruhi berbagai domain, mulai dari IoT konsumen dan medis hingga IoT Industri, Teknologi Operasional, dan sistem kontrol industri,” kata Azure Defender untuk ‘Section 52’ dari Microsoft. Kelompok penelitian IoT.
Cacat tersebut secara kolektif dinamai “BadAlloc,” karena mereka berakar pada fungsi alokasi memori standar yang mencakup sistem operasi waktu nyata (RTOS) yang banyak digunakan, kit pengembangan perangkat lunak yang disematkan (SDK), dan implementasi C library standar (libc).
Kurangnya validasi input yang tepat terkait dengan fungsi alokasi memori ini dapat memungkinkan musuh melakukan heap overflow, yang mengarah ke eksekusi kode berbahaya pada perangkat yang rentan.
“Eksploitasi yang berhasil dari kerentanan ini dapat mengakibatkan perilaku yang tidak terduga seperti crash atau injeksi / eksekusi kode jarak jauh,” kata Badan Keamanan Siber dan Infrastruktur (CISA) AS dalam sebuah nasihat.
Baik Microsoft maupun CISA belum merilis rincian tentang jumlah total perangkat yang terpengaruh oleh bug perangkat lunak.
Perangkat yang terinfeksi BadAlloc
- Amazon FreeRTOS, Versi 10.4.1
- Apache Nuttx OS, Versi 9.1.0
- ARM CMSIS-RTOS2, versi sebelum 2.1.3 – ARM Mbed OS, Versi 6.3.0 – dan ARM mbed-uallaoc, Versi 1.3.0
- Cesanta Software Mongoose OS, v2.17.0
- eCosCentric eCosPro RTOS, Versi 2.0.1 hingga 4.5.3
- Google Cloud IoT Device SDK, Versi 1.0.2
- Linux Zephyr RTOS, versi sebelum 2.4.0
- MediaTek LinkIt SDK, versi sebelum 4.6.1
- Micrium OS, Versi 5.10.1 dan sebelumnya
- Micrium uCOS II / uCOS III Versi 1.39.0 dan sebelumnya
- NXP MCUXpresso SDK, versi sebelum 2.8.2
- NXP MQX, Versi 5.1 dan sebelumnya
- Redhat newlib, versi sebelum 4.0.0
- RIOT OS, Versi 2020.01.1
- Samsung Tizen RT RTOS, versi sebelumnya 3.0.GBB
- TencentOS-tiny, Versi 3.1.0
- Texas Instruments CC32XX, versi sebelum 4.40.00.07 – Texas Instruments SimpleLink MSP432E4XX – Texas Instruments SimpleLink-CC13XX, versi sebelum 4.40.00 – Texas Instruments SimpleLink-CC26XX, versi sebelum 4.40.00 – dan Texas Instruments SimpleLink-CC32XX, versi sebelum 4.10.03
- Uclibc-NG, versi sebelum 1.0.36
- Windriver VxWorks, sebelum 7.0
Microsoft mengatakan tidak menemukan bukti kerentanan ini dieksploitasi hingga saat ini, meskipun ketersediaan tambalan dapat memungkinkan pelaku kejahatan menggunakan teknik yang disebut “patch diffing”.
Untuk merekayasa balik perbaikan dan memanfaatkannya untuk berpotensi mempersenjatai versi rentan dari perangkat lunak.
Untuk meminimalkan risiko eksploitasi kerentanan ini, CISA merekomendasikan organisasi untuk menerapkan pembaruan vendor sesegera mungkin, memasang penghalang firewall.
Dan mengisolasi jaringan sistem dari jaringan bisnis, dan membatasi paparan perangkat sistem kontrol untuk memastikan perangkat tetap tidak dapat terhubung dengan internet.