Обнаружены уязвимости сразу во многих системах промышленной автоматизации

Уязвимости типа переполнение буфера выявлены в большом числе систем интернета вещей (IoT) и промышленной автоматизации командой Section 52 компании Microsoft, 30 апреля сообщает американский портал новостей об информационных технологиях ZDNet.

Команда обнаружила в общей сложности 25 уязвимостей. Им подвержены IoT-устройства, промышленные, медицинские системы, системы операционных технологий. Уязвимости получили общее наименование BadAlloc и связаны с некорректной обработкой входных данных.

«Все эти уязвимости происходят из-за использования уязвимых функций памяти, таких как malloc, calloc, realloc, memalign, valloc, pvalloc и других», — сообщила команда в своем блоге. Имеются ввиду низкоуровневые функции работы с оперативной памятью языка программирования C, которые требуют аккуратного использования ввиду отсутствия встроенной защиты «от дурака».

Механизм работы уязвимостей заключается в выделении фиксированного объема памяти при поступлении данных на вход, причем объем данных может быть больше выделяемого объема памяти. В результате происходит переполнение буфера и все, что превышает окно данных, может быть выполнено, как код. Решается такая проблема, обычно, поступающих на вход данных.

Уязвимостям подвержены встраиваемые устройства, работающие под управлением систем или с библиотеками: Amazon FreeRTOS 10.4.1, ОС Apache Nuttx 9.1.0, ARM CMSIS-RTOS2 версий до 2.1.3, ОС ARM Mbed 6.3.0, ARM mbed-uallaoc 1.3.0, Cesanta Software Mongoose OS 2.17.0, eCosCentric eCosPro RTOS версий 2.0.1 – 4.5.3, SDK 1.0.2 для устройств Google Cloud IoT, ОСРВ Linux Zephyr версий до 2.4.0, Media Tek LinkIt SDK версий до 4.6.1, Micrium OS версии до 5.10.1, Micrium uCOS II и III версий до 1.39.0, NXP MCUXpresso SDK версий до 2.8.2, NXP MQX версий до 5.1, Redhat newlib версий до 4.0.0, ОС RIOT 2020.01.1, ОСРВ Samsung Tizen RT версий до 3.0.GBB, TencentOS-tiny 3.1.0, Texas Instruments CC32XX версий до 4.40.00.07, Texas Instruments SimpleLink MSP432E4XX, Texas Instruments SimpleLink-CC13XX версий до 4.40.00, Texas Instruments SimpleLink-CC26XX версий до 4.40.00, Texas Instruments SimpleLink-CC32XX версий до 4.10.03, Uclibc-NG версий до 1.0.36 и WindRiver VxWorks до 7.0.

15 из 25 производителей уже исправили уязвимости в программном обеспечении. Предположительно, остальные исправят в ближайшие месяцы. Для уязвимостей семейства BadAlloc пока нет известных эксплоитов (сценариев для автоматизации эксплуатации уязвимостей), но это лишь вопрос времени.

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) присвоила уязвимостям BadAlloc статус опасности 9,8 из 10 возможных.

Проблема усугубляется тем, что многие системы интернета вещей и промышленной автоматизации работают годами без обновления встроенного программного обеспечения.