26 Los defectos de IoT permiten ataques de denegación de servicio, …


La investigación detalla vulnerabilidades en los sistemas operativos Zephyr Actual Time y MCUboot, ambos utilizados en dispositivos y sensores IoT.

Las vulnerabilidades recientemente descubiertas en los componentes de Online de las cosas (IoT) podrían exponer una variedad de dispositivos conectados a ataques de denegación de servicio (DoS) y escalada de privilegios, informa un investigador del Grupo NCC.

El informe detalla 26 vulnerabilidades en Zephyr Genuine Time Working Systems (RTOS), que está específicamente diseñado para aplicaciones IoT, y MCUboot, un gestor de arranque de código abierto, independiente del hardware visto como un «proyecto complementario» para Zephyr, dijo el director técnico del Grupo NCC Jeremy Boone en una publicación de weblog sobre la investigación, que se realizó en enero y febrero de 2020.

Ambos componentes existen en una gama de sensores y dispositivos IoT, incluidos monitores para bebés, LED, dispositivos portátiles inteligentes y puertas de enlace inalámbricas IoT. Zephyr RTOS es compatible con varios proveedores importantes, incluidos Intel, NXP, Nordic Semiconductor y Texas Devices También es appropriate con una amplia gama de arquitecturas de conjuntos de chips y kits de desarrollo.

NCC Team descubrió 25 vulnerabilidades que afectan a Zephyr RTOS y una que afecta a MCUboot. Los investigadores encontraron fallas de corrupción de memoria explotables localmente y remotamente, múltiples rutas que podrían permitir que una aplicación de usuario comprometida escale privilegios al modo kernel y múltiples debilidades en el diseño de ciertos sistemas de mitigación de vulnerabilidades que existen en el kernel.

A la fecha de publicación de la investigación, se han abordado 15 de estos 26 problemas.

«Los hallazgos restantes sin parche representan un riesgo typical bajo, ya que representan vulnerabilidades de denegación de servicio u oportunidades para fortalecer aún más el núcleo al mejorar los sistemas existentes de mitigación de vulnerabilidades», señala el informe. Zephyr ha indicado al Grupo NCC que estos problemas de bajo riesgo están fuera de la política de embargo de 90 días y los abordarán en un lanzamiento futuro.

Lea más detalles y descargue los resultados completos aquí.

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Fast Hits de Dark Looking through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic