Microsoft a découvert des bugs d’exécution de code dans les appareils IoT

Les chercheurs en sécurité de Microsoft ont découvert plus de deux douzaines de vulnérabilités critiques d’exécution de code à distance dans les appareils IoT et les systèmes industriels de technologie opérationnelle(OT).

Ces 25 failles de sécurité sont connues collectivement sous le nom de BadAlloc et sont causées par des bugs d’allocation de mémoire comme le débordement d’entier.

Les pirates informatique peuvent les exploiter pour déclencher des plantages du système et exécuter du code malveillant à distance sur les systèmes IoT et OT vulnérables.

Les vulnérabilités ont été trouvées par les chercheurs de Microsoft dans les fonctions standard d’allocation de mémoire largement utilisées dans plusieurs systèmes d’exploitation en temps réel (RTOS), les implémentations de la bibliothèque standard C (libc) et les kits de développement de logiciels embarqués (SDK).

« Nos recherches montrent que les implémentations d’allocation de mémoire écrites au fil des ans dans le cadre des appareils IoT et des logiciels embarqués n’ont pas intégré les validations d’entrée appropriées », a déclaré l’équipe du Microsoft Security Response Center.

« Sans ces validations d’entrée, un attaquant peut exploiter la fonction d’allocation de mémoire pour effectuer un débordement de tas, ce qui entraîne l’exécution de code malveillant sur un périphérique cible. »

Les appareils vulnérables aux attaques de BadAlloc

Les appareils IoT et OT vulnérables touchés par les vulnérabilités BadAlloc se trouvent sur les réseaux de consommateurs, médicaux et industriels.

La liste complète des appareils affectés par BadAlloc inclut (des liens vers des correctifs sont disponibles dans l’avis du CISA):

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0 
  • ARM CMSIS-RTOS2, versions précédant la version 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 jusqu’à 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions précédant la version 2.4.0
  • Media Tek LinkIt SDK, versions précédant la version 4.6.1
  • Micrium OS, Versions 5.10.1 et antérieures
  • Micrium uCOS II/uCOS III Versions 1.39.0 et antérieures
  • NXP MCUXpresso SDK, versions précédant la version 2.8.2
  • NXP MQX, Versions 5.1 et antérieures
  • Redhat newlib, versions précédant la version 4.0.0
  • RIOT OS, Version 2020.01.1
  • Samsung Tizen RT RTOS, versions précédant la version 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions précédant la version 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions précédant la version 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions précédant la version 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions précédant la version 4.10.03
  • Uclibc-NG, versions précédant la version 1.0.36
  • Windriver VxWorks, antérieure à la version 7.0

Mitigation de BadAlloc

Les vulnérabilités ont été trouvées et signalées au CISA et ont été affectées par les chercheurs en sécurité David Atch, Omri Ben Bassat et Tamir Ariel du groupe de recherche Azure Defender for IoT de Microsoft.

Pour réduire le risque d’exploitation, le CISA recommande aux organisations utilisant des appareils vulnérables aux attaques BadAlloc de:

  • Appliquez les mises à jour disponibles des fournisseurs.
  • Réduisez au minimum l’exposition au réseau pour tous les périphériques systèmes et/ou systèmes de contrôle et assurez-vous qu’ils ne sont pas accessibles à partir d’Internet.
  • Localisez les réseaux de systèmes de contrôle et les périphériques distants derrière les pare-feu et isolez-les du réseau de l’entreprise.
  • Lorsque l’accès à distance est nécessaire, utilisez des méthodes sécurisées, telles que les réseaux privés virtuels (VPN), reconnaissant que les VPN peuvent avoir des vulnérabilités et doivent être mis à jour vers la version la plus récente.

Si les appareils vulnérables ne peuvent pas être corrigés immédiatement, Microsoft conseille:

  • Réduire la surface d’attaque en minimisant ou en éliminant l’exposition des appareils vulnérables à Internet;
  • Mise en place d’un suivi de la sécurité réseau pour détecter les indicateurs comportementaux de compromis;
  • Renforcer la segmentation du réseau pour protéger les actifs essentiels.

Le CISA fournit également des pratiques recommandées en matière de sécurité des systèmes de contrôle et un document d’information technique sur les stratégies ciblées de détection et d’atténuation des cyber-intrusions.

Bien qu’aucune exploitation active de BadAlloc n’ait été détectée jusqu’à présent dans la nature par Microsoft, le CISA demande aux organisations de signaler toute activité malveillante les ciblant pour un suivi plus facile.

La National Security Agency (NSA) a publié un avis de sécurité sur l’évaluation des risques liés aux connexions des IoT et OT, ainsi que sur la prévention et la détection d’activités malveillantes.

Vous pourriez aussi aimer
Laisser un commentaire