微軟旗下Azure雲端服務的資安研究團隊Section 52,日前發現多達25個IoT(Internetof Things)裝置與OT(Operational Technology)裝置的漏洞,影響範圍遍及製造業、醫療產業及大型企業等多種重要產業的網路、裝置與製造系統。
據微軟表示,這些漏洞共有25個不同的CVE編號,合稱為「BadAlloc」;駭侵者可以利用這些漏洞,在各種IoT與OT裝置上誘發記憶體配置錯誤,藉以在這些裝置上遠端執行任意程式碼。
這些記憶體配置錯誤造成的RCE資安漏洞,廣泛存在於各種即時作業系統(Real-Time Operating System, RTOS)、嵌入式裝置的軟體開發套件(SDK)與C語言的標準程式庫(Libc)等。
此外,微軟也在第一時間通報美國國土安全部(DHS)與各裝置製造商,DHS旗下的資安主管機關網路安全暨基礎設施安全局(Cybersecirity and Infrastructure Security Agency, CISA)也發布資安通報,列出所有含有這批BacAlloc漏洞的裝置與軟體開發套件,其中包括Google Cloud IoT Device SDK 、TI SimpleLink、ARM、三星Tizen RT RTOS、Amazon FreeRTOS、NXP MQX、Media Tek LinkIt SDK、Windriver等網路產品軟體25項。
微軟指出,由於這些IoT與OT裝置的使用範圍極為廣泛,製造維護廠家眾多,因此難以全面更新並防堵漏洞,但建議可取得更新之產品用戶,應立即更新至最新版本,以免漏洞遭有心人士利用而造成用戶被駭。
建議採取資安強化措施:
雖然目前微軟尚未觀察到任何濫用這批漏洞而行的攻擊事件,但為避免接下來發生大規模攻擊事件,微軟建議這類產品用戶可以:
- 透過官方釋出已公告之更新版檔案,立即進行更新。
- 若是無法更新產品,也應嚴加防範,並且減少這類產品直接曝露在Internet上的程度,並且將內部網路分區隔開,避免及縮小惡意軟體在內網散布的範圍。如果需要遠端存取這些裝置,就必須使用安全連線。
本文轉載自TWCERT/CC。