BadAlloc

محققان مایکروسافت روز پنجشنبه ۲۹ آوریل ۲۰۲۱ دوازده آسیب‌پذیری (BadAlloc) را کشف کردند که دامنه وسیعی از دستگاه‌های اینترنت اشیا (IoT) و فناوری عملیاتی (OT) را در شبکه‌های صنعتی، پزشکی و سرمایه‌گذاری تحت تأثیر قرار داده است و ممکن است توسط دشمنان برای اجرای کد دلخواه مورد بهره‌برداری قرارگرفته و حتی باعث ایجاد crash در سیستم‌های حیاتی شود.

“بخش ۵۲” Azure Defender مایکروسافت دراین‌باره گفت[۱]: “این آسیب‌پذیری‌های اجرای کد از راه دور (RCE) بیش از ۲۵ آسیب‌پذیری را شامل می‌شوند و به‌طور بالقوه دامنه وسیعی را تحت تأثیر قرار می‌دهند، از IoT مصرفی و پزشکی گرفته تا IoT صنعتی، فناوری عملیاتی و سیستم‌های کنترل صنعتی.”

این نقص‌ها درمجموع “BadAlloc” نام‌گذاری شده‌اند، زیرا ریشه آن‌ها در عملکردهای تخصیص حافظه استاندارد است که شامل سیستم‌عامل‌های واقعی در زمان واقعی (RTOS)، کیت‌های توسعه نرم‌افزار تعبیه‌شده (SDK) و پیاده‌سازی کتابخانه استانداردC  است. فقدان اعتبارسنجی ورودی مناسب مرتبط با این توابع تخصیص حافظه می‌تواند یک دشمن را قادر به انجام سرریز زیاد کند، که منجر به اجرای کد مخرب در یک دستگاه آسیب‌پذیر می‌شود[۲].

آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده (CISA) دراین‌باره گفت[۳]: “بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به رفتار غیرمنتظره‌ای مانند خرابی یا تزریق و اجرای کد از راه دور شود.” نه مایکروسافت و نه CISA جزئیات مربوط به تعداد کل دستگاه‌های تحت تأثیر این اشکالات نرم‌افزاری را منتشر نکرده‌اند.

لیست کامل دستگاه‌های تحت تأثیر BadAlloc به شرح زیر است:

  • Amazon FreeRTOS, Version 10.4.1
  • Apache Nuttx OS, Version 9.1.0
  • ARM CMSIS-RTOS2, versions prior to 2.1.3
  • ARM Mbed OS, Version 6.3.0
  • ARM mbed-uallaoc, Version 1.3.0
  • Cesanta Software Mongoose OS, v2.17.0
  • eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
  • Google Cloud IoT Device SDK, Version 1.0.2
  • Linux Zephyr RTOS, versions prior to 2.4.0
  • MediaTek LinkIt SDK, versions prior to 4.6.1
  • Micrium OS, Versions 5.10.1 and prior
  • Micrium uCOS II/uCOS III Versions 1.39.0 and prior
  • NXP MCUXpresso SDK, versions prior to 2.8.2
  • NXP MQX, Versions 5.1 and prior
  • Redhat newlib, versions prior to 4.0.0
  • RIOT OS, Version 2020.01.1
  • Samsung Tizen RT RTOS, versions prior 3.0.GBB
  • TencentOS-tiny, Version 3.1.0
  • Texas Instruments CC32XX, versions prior to 4.40.00.07
  • Texas Instruments SimpleLink MSP432E4XX
  • Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
  • Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
  • Uclibc-NG, versions prior to 1.0.36
  • Windriver VxWorks, prior to 7.0

مایکروسافت گفت که تاکنون هیچ مدرکی در مورد بهره‌برداری از این آسیب‌پذیری‌ها پیدا نکرده است، اگرچه در دسترس بودن وصله‌ها به مهاجم این امکان را می‌دهد تا از تکنیکی به نام “patch diffing” برای مهندسی معکوس وصله‌ها استفاده کند و از آن به‌طور بالقوه برای مسلح کردن نسخه‌های آسیب‌پذیر نرم‌افزار بهره ببرد.

برای به حداقل رساندن خطر بهره‌برداری استفاده از این آسیب‌پذیری‌ها، CISA به سازمان‌ها توصیه می‌کند در اسرع وقت از به‌روزرسانی‌های منتشرشده استفاده کنند، موانع فایروال درست کنند و شبکه‌های سیستم را از شبکه‌های تجاری جدا کنند و دستگاه‌های کنترل سیستم را در معرض محدودیت قرار دهند تا از دسترسی به اینترنت جلوگیری شود.

منابع

[۱] https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en

[۲]https://www.virustotal.com/gui/file/af2a2be20d7bbec0a9bb4a4dfa898aa18ef4994a9791d7cf37b7b62b379992ac/detection

[۳] https://blog.avast.com/new-torii-botnet-threat-research

[۴] https://thehackernews.com/2021/04/microsoft-finds-badalloc-flaws.html