El grupo de investigación Azure Defender for IoT reportó el hallazgo de al menos 25 fallas de seguridad impactando toda clase de dispositivos inteligentes y equipos de Internet de las Cosas (IoT) de aplicación industrial. Este conjunto de vulnerabilidades, identificado como “BadAlloc”, fue identificado por los expertos de Microsoft y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Acorde al reporte, las fallas existen en las funciones de asignación de memoria estándar que abarcan sistemas operativos en tiempo real (ROTS), kits de desarrollo de software (SDK) e implementaciones de biblioteca estándar C. Como su nombre indica, las funciones de asignación de memoria permiten a los programadores controlar cómo funcionan el firmware de un dispositivo y sus aplicaciones con la memoria física incorporada del dispositivo.
Los investigadores mencionan que las fallas BadAlloc se presentan debido a que las implementaciones de asignación de memoria escritas para los dispositivos IoT y el software integrado no han incorporado una validación de entrada adecuada: “Sin este mecanismo de protección, un atacante podría explotar la función de asignación de memoria para realizar un desbordamiento de pila que podría derivar en la ejecución de código malicioso en una implementación comprometida.” Además, los ataques pueden ser desplegados de forma remota si los dispositivos vulnerables están expuestos en Internet.
En el informe la compañía confirmó que se encontraron problemas con la validación de entrada en los siguientes productos:
- Amazon FreeRTOS, v10.4.1
- Apache Nuttx OS, v9.1.0
- ARM CMSIS-RTOS2, versiones anteriores a 2.1.3
- ARM Mbed OS, v6.3.0
- ARM mbed-uallaoc, v1.3.0
- Software Cesanta Mongoose OS, v2.17.0
- eCosCentric eCosPro RTOS, v2.0.1 a v4.5.3
- SDK de dispositivos Google Cloud IoT, v1.0.2
- Linux Zephyr RTOS, versiones anteriores a 2.4.0
- Media Tek LinkIt SDK, versiones anteriores a 4.6.1
- Micrium OS, v5.10.1 y anteriores
- Micrium uCOS II/uCOS III v1.39.0 y anteriores
- NXP MCUXpresso SDK, v2.8.2 y anteriores
- NXP MQX, v5.1 y anteriores
- Redhat newlib, anteriores a v4.0.0
- RIOT OS, v2020.01.1
- Samsung Tizen RT RTOS, anteriores a v3.0.GBB
- TencentOS-tiny, v3.1.0
- Texas Instruments CC32XX, anteriores a v4.40.00.07
- Texas Instruments SimpleLink MSP432E4XX
- Texas Instruments SimpleLink-CC13XX, anteriores a v4.40.00
- Texas Instruments SimpleLink-CC26XX, anteriores a v4.40.00
- Texas Instruments SimpleLink-CC32XX, anteriores a v4.10.03
- Uclibc-NG, anteriores a v1.0.36
- Windriver VxWorks, anterior a v7.0
Por otra parte, CISA señala que solo 15 de las 25 implementaciones afectadas publicaron actualizaciones de seguridad para corregir estas fallas, aunque se espera que las restantes sean corregidas durante los próximos meses.
Mientras las actualizaciones están disponibles, CISA y Microsoft recomiendan a las organizaciones afectadas reducir la exposición de los dispositivos vulnerables, además de implementar mecanismos de monitoreo en busca de posibles anomalías y segmentar las redes internas para contener un potencial caso de explotación.
Hasta el momento no se han detectado casos de explotación activa de alguna de estas fallas, aunque los administradores no deben descuidarse ni por un segundo. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
