Connect with us

Hi, what are you looking for?

Headline

BadAlloc: Microsoft Menandai Lubang Keamanan Utama di OT, Perangkat IoT

view counter

[ad_1]

Peneliti keamanan di Microsoft meningkatkan alarm untuk beberapa lubang keamanan yang menganga di berbagai perangkat perusahaan yang terhubung ke internet, memperingatkan bahwa bug berisiko tinggi mengekspos bisnis ke serangan eksekusi kode jarak jauh.

Menurut penasehat dari Redmond’s Azure Defender untuk kelompok penelitian keamanan IoT, setidaknya ada 25 kerentanan yang terdokumentasi (CVE) yang memengaruhi berbagai perangkat IoT dan teknologi operasional (OT) di jaringan industri, medis, dan perusahaan.

Microsoft menyebut keluarga kerentanan “BadAlloc“.

“Penelitian kami menunjukkan bahwa implementasi alokasi memori yang ditulis selama bertahun-tahun sebagai bagian dari perangkat IoT dan perangkat lunak yang disematkan belum memasukkan validasi input yang tepat. Tanpa validasi input ini, penyerang dapat mengeksploitasi fungsi alokasi memori untuk melakukan heap overflow, yang mengakibatkan eksekusi kode berbahaya pada perangkat target, ”jelas Microsoft.

[Adversaries] dapat memanfaatkan untuk melewati kontrol keamanan untuk mengeksekusi kode berbahaya atau menyebabkan sistem crash, Microsoft memperingatkan.

Yang terpisah penasehat dari Cybersecurity and Infrastructure Security Agency (CISA) AS memberikan daftar perangkat yang terpengaruh dan informasi tentang penerapan patch keamanan yang tersedia.

Menurut Microsoft, kerentanan ada dalam fungsi alokasi memori standar yang mencakup banyak sistem operasi waktu nyata (RTOS) yang digunakan secara luas, kit pengembangan perangkat lunak tertanam (SDK), dan implementasi perpustakaan standar C (libc).

Pelajari Lebih Lanjut Tentang Keamanan OT di Konferensi Keamanan Cyber ​​ICS SecurityWeek

Advertisement. Scroll to continue reading.

Microsoft mengatakan pihaknya bekerja sama dengan semua vendor yang terpengaruh bekerja sama dengan Departemen Keamanan Dalam Negeri (DHS) AS untuk mengoordinasikan penyelidikan dan peluncuran pembaruan.

Daftar produk yang terpengaruh termasuk perangkat IOT / OT yang dijual oleh Amazon, ARM, Cesanta, Google Cloud, Samsung, Texas Instruments, dan Tencent. US-CERT mengatakan berbagai produk sumber terbuka juga terpengaruh.

“Mengingat luasnya perangkat IoT dan OT, kerentanan ini, jika berhasil dieksploitasi, menunjukkan potensi risiko yang signifikan untuk semua jenis organisasi. Sampai saat ini, Microsoft belum melihat indikasi kerentanan ini yang dieksploitasi. Namun, kami sangat mendorong organisasi untuk menambal sistem mereka secepat mungkin, ”kata perusahaan itu.

Microsoft merekomendasikan bahwa organisasi menerapkan kontrol mitigasi untuk mengurangi permukaan serangan, termasuk menerapkan pemantauan keamanan jaringan untuk mendeteksi indikator perilaku kompromi; dan memperkuat segmentasi jaringan untuk melindungi aset penting.

David Atch, Omri Ben Bassat, dan Tamir Ariel dari Microsoft dikreditkan karena melaporkan kerentanan ke CISA.

Daftar produk yang terkena dampak, menurut peringatan CISA, meliputi:

Amazon FreeRTOS, Versi 10.4.1

Apache Nuttx OS, Versi 9.1.0

ARM CMSIS-RTOS2, versi sebelum 2.1.3

Advertisement. Scroll to continue reading.

ARM Mbed OS, Versi 6.3.0

ARM mbed-uallaoc, Versi 1.3.0

Cesanta Software Mongoose OS, v2.17.0

eCosCentric eCosPro RTOS, Versi 2.0.1 hingga 4.5.3

Google Cloud IoT Device SDK, Versi 1.0.2

Linux Zephyr RTOS, versi sebelum 2.4.0

Media Tek LinkIt SDK, versi sebelum 4.6.1

Micrium OS, Versi 5.10.1 dan sebelumnya

Micrium uCOS II / uCOS III Versi 1.39.0 dan sebelumnya

Advertisement. Scroll to continue reading.

NXP MCUXpresso SDK, versi sebelum 2.8.2

NXP MQX, Versi 5.1 dan sebelumnya

Redhat newlib, versi sebelum 4.0.0

RIOT OS, Versi 2020.01.1

Samsung Tizen RT RTOS, versi sebelumnya 3.0.GBB

TencentOS-tiny, Versi 3.1.0

Texas Instruments CC32XX, versi sebelum 4.40.00.07

Texas Instruments SimpleLink MSP432E4XX

Texas Instruments SimpleLink-CC13XX, versi sebelum 4.40.00

Advertisement. Scroll to continue reading.

Texas Instruments SimpleLink-CC26XX, versi sebelum 4.40.00

Texas Instruments SimpleLink-CC32XX, versi sebelum 4.10.03

Uclibc-NG, versi sebelum 1.0.36

Windriver VxWorks, sebelum 7.0

Pelajari lebih lanjut tentang kerentanan dalam sistem industri di Konferensi Keamanan Cyber ​​ICS SecurityWeek dan Pertemuan Keamanan SecurityWeek seri acara virtual

lihat counter

Ryan Naraine adalah Editor-at-Large di SecurityWeek dan pembawa acara populer Percakapan Keamanan seri podcast. Ryan adalah jurnalis dan ahli strategi keamanan siber dengan pengalaman lebih dari 20 tahun meliput tren keamanan dan teknologi TI. Dia adalah pembicara reguler di konferensi keamanan siber di seluruh dunia. Ryan telah membangun program keterlibatan keamanan di merek global utama, termasuk Intel Corp., Bishop Fox, dan Kaspersky GReAT. Dia adalah salah satu pendiri Threatpost dan seri konferensi SAS global. Karir Ryan sebagai jurnalis mencakup tulisan di publikasi teknologi utama termasuk Ziff Davis eWEEK, ZDNet CBS Interactive, PCMag dan PC World.
Ikuti Ryan di Twitter @anaindah.

Kolom Sebelumnya oleh Ryan Naraine:
Tag:



[ad_2]

Source

Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.

Artikel Lainnya

Advertisement
close