[[397052]]

Microsoft 安全研究人員在物聯網(IoT)設備和運營技術(OT)工業(yè)系統中發(fā)現了二十多個關鍵的遠程代碼執(zhí)行(RCE)漏洞。這 25 個安全漏洞被統稱為 BadAlloc，是由內存分配整數溢出或環(huán)繞錯誤引起的。攻擊者可以利用它們來觸發(fā)系統崩潰并在物聯網和 OT 系統上遠程執(zhí)行惡意代碼。

Microsoft 的研究人員在多個實時操作系統(RTOS)、C 標準庫(libc)實現和嵌入式軟件開發(fā)工具包(SDK)中廣泛使用的標準內存分配功能中發(fā)現了這些漏洞。其安全響應中心團隊表示，多年來作為物聯網設備和嵌入式軟件的一部分而編寫的內存分配實現沒有進行適當的輸入驗證，因此，攻擊者可以利用內存分配功能來觸發(fā)堆溢出，從而在目標設備上執(zhí)行惡意代碼。

在發(fā)現這些漏洞后，Microsoft 的安全研究人員將其報告給了 CISA 和受影響的供應商。據悉，這些容易受到 BadAlloc 攻擊的物聯網和 OT 設備目前主要存在于消費者、醫(yī)療和工業(yè)網絡中，包括 Amazon FreeRTOS、Apache Nuttx OS、Google Cloud IoT Device SDK 等，完整的列表可以在 CISA 的公告中查到。同時，CISA 和 Microsoft 建議使用易受 BadAlloc 攻擊的設備的組織采取下列措施以減少風險：

• 應用現有的供應商更新
• 盡量減少所有控制系統設備及其系統的網絡暴露，并確保它們不能從互聯網訪問
• 將控制系統網絡和遠程設備置于防火墻之后，并將其與業(yè)務網絡隔離開來
• 當需要遠程訪問時，使用安全的方法，
• 實施網絡安全監(jiān)控，以檢測可能有危害的行為指標
• 加強網絡分割以保護關鍵資源

此外，CISA 還提供了控制系統安全推薦做法和一份關于有針對性的網絡入侵檢測和緩解策略的技術信息文件。雖然到目前為止，Microsoft 還沒有檢測到對 BadAlloc 的主動利用，但 CISA 要求各組織報告任何針對它們的惡意活動，以便于追蹤。

本文轉自OSCHINA

本文標題：Microsoft 在物聯網和 OT 設備中發(fā)現代碼執(zhí)行漏洞

本文地址：https://www.oschina.net/news/139713/microsoft-discover-rce-in-iot-and-ot