"BadAlloc": las vulnerabilidades de asignación de memoria podrían afectar una amplia gama de dispositivos de IoT y OT en redes industriales, médicas y empresariales

La Sección 52 de Microsoft, el grupo de investigación de seguridad Azure Defender para IoT, descubrió recientemente una serie de vulnerabilidades críticas de asignación de memoria en dispositivos IoT y OT que los adversarios podrían aprovechar para eludir los controles de seguridad y ejecutar código malicioso o provocar un bloqueo del sistema.

Estas vulnerabilidades de ejecución remota de código (RCE) cubren más de 25 CVE y afectan potencialmente a una amplia gama de dominios, desde IoT médico y de consumo hasta IoT industrial, tecnología operativa (OT) y sistemas de handle industrial.

Las vulnerabilidades existen en las funciones de asignación de memoria estándar que abarcan sistemas operativos en tiempo genuine (RTOS) ampliamente utilizados, kits de desarrollo de program integrados (SDK) e implementaciones de bibliotecas estándar C (libc). Estos hallazgos se han compartido con los proveedores a través de la divulgación responsable dirigida por el Centro de Respuesta de Seguridad de Microsoft (MSRC) y el Departamento de Seguridad Nacional (DHS), lo que permite a estos proveedores investigar y corregir las vulnerabilidades.

Para obtener una lista completa de los productos y CVE afectados, visite el sitio website del DHS: ICSA-21-119-04 Múltiples RTOS .

Dada la omnipresencia de los dispositivos de IoT y OT, estas vulnerabilidades, si se explotan con éxito, representan un riesgo potencial significativo para las organizaciones de todo tipo. Hasta la fecha, Microsoft no ha visto indicios de que se estén aprovechando estas vulnerabilidades. Sin embargo, recomendamos encarecidamente a las organizaciones que parcheen sus sistemas lo antes posible.

Al mismo tiempo, reconocemos que parchear dispositivos IoT / OT puede ser complejo. Para los dispositivos que no se pueden parchear de inmediato, recomendamos mitigar controles tales como: reducir la superficie de ataque minimizando o eliminando la exposición de dispositivos vulnerables a World-wide-web implementar monitoreo de seguridad de la pink para detectar indicadores de comportamiento de compromiso y fortalecer la segmentación de la pink para proteger los activos críticos, como se explain en la sección de mitigaciones al last de esta publicación de web site.

Tenga en cuenta que Microsoft Azure RTOS ThreadX no es susceptible en su configuración predeterminada. La Documentación de Azure RTOS ThreadX se ha actualizado para indicar que «solo es seguro deshabilitar la verificación de errores si la aplicación puede garantizar absolutamente que todos los parámetros de entrada son siempre válidos en todas las circunstancias, incluidos los parámetros de entrada derivados de una entrada externa».

«BadAlloc»: ejecución de código malicioso a través de funciones de memoria vulnerables

«BadAlloc» es el nombre asignado por la Sección 52 de Microsoft a la familia de vulnerabilidades descubiertas en el application y los sistemas operativos IoT y OT integrados para describir esta clase de vulnerabilidades de desbordamiento de memoria. Todas estas vulnerabilidades se derivan del uso de funciones de memoria vulnerables como malloc, calloc, realloc, memalign, valloc, pvalloc y más. Nuestra investigación muestra que las implementaciones de asignación de memoria escritas a lo largo de los años como parte de los dispositivos de IoT y el software integrado no han incorporado las validaciones de entrada adecuadas. Sin estas validaciones de entrada, un atacante podría aprovechar la función de asignación de memoria para realizar un desbordamiento del montón, lo que provocaría la ejecución de código malicioso en un dispositivo de destino.

Las vulnerabilidades de asignación de memoria se pueden invocar llamando a la función de asignación de memoria, como malloc (Worth), con el parámetro Benefit derivado dinámicamente de una entrada externa y siendo lo suficientemente grande como para desencadenar un desbordamiento de enteros o envolvente. El concepto es el siguiente: al enviar este valor, el resultado devuelto es un búfer de memoria recién asignado. Si bien el tamaño de la memoria asignada sigue siendo pequeño debido al envolvente, la carga útil asociada con la asignación de memoria excede el búfer asignado actual, lo que resulta en un desbordamiento del montón. Este desbordamiento del montón permite a un atacante ejecutar código malicioso en el dispositivo de destino. Los siguientes son ejemplos de «BadAlloc»:

Mitigar las vulnerabilidades «BadAlloc»

Recomendamos las siguientes mitigaciones para organizaciones con dispositivos IoT y OT:
Parche. Siga las instrucciones del proveedor para aplicar parches a los productos afectados.
Si no puede parchear, supervise. Dado que la mayoría de los dispositivos heredados de IoT y OT no son compatibles con los agentes, utilice una solución de detección y respuesta de red (NDR) con reconocimiento de IoT / OT como Azure Defender para IoT y solución SIEM / SOAR como Centinela azur para descubrir automáticamente y monitorear continuamente los dispositivos en busca de comportamientos anómalos o no autorizados, como la comunicación con hosts locales o remotos desconocidos. Estos son elementos esenciales para implementar una estrategia de Confianza Cero para IoT / OT.
Reducir la superficie de ataque eliminando las conexiones de Internet innecesarias a los sistemas de manage de OT e implementando el acceso VPN con autenticación multifactor (MFA) cuando se requiere acceso remoto. El DHS advierte que los dispositivos VPN también pueden tener vulnerabilidades y deben actualizarse a la versión más precise disponible.
Segmento. La segmentación de la crimson es importante para Zero Rely on porque limita la capacidad del atacante para moverse lateralmente y comprometer los activos de la joya de la corona, después de la intrusión inicial. En distinct, los dispositivos de IoT y las redes OT deben aislarse de las redes de TI corporativas mediante firewalls.

Acerca de la Sección 52

La Sección 52 de Microsoft es el grupo de investigación de seguridad para Azure Defender para IoT. El grupo está compuesto por investigadores de seguridad y científicos de datos con amplia experiencia en el dominio de la búsqueda de amenazas de IoT / OT, ​​ingeniería inversa de malware, respuesta a incidentes y análisis de datos. El grupo también proporciona actualizaciones continuas de inteligencia de amenazas a Azure Defender para IoT, lo que permite la detección y mitigación de las vulnerabilidades y amenazas de IoT / OT más recientes.

Equipo AZ Defender



Fuente del articulo