日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Microsoft在物聯(lián)網(wǎng)和OT設備中發(fā)現(xiàn)代碼執(zhí)行漏洞

Microsoft 安全研究人員在物聯(lián)網(wǎng)(IoT)設備和運營技術(OT)工業(yè)系統(tǒng)中發(fā)現(xiàn)了二十多個關鍵的遠程代碼執(zhí)行(RCE)漏洞。這 25 個安全漏洞被統(tǒng)稱為 BadAlloc,是由內(nèi)存分配整數(shù)溢出或環(huán)繞錯誤引起的。攻擊者可以利用它們來觸發(fā)系統(tǒng)崩潰并在物聯(lián)網(wǎng)和 OT 系統(tǒng)上遠程執(zhí)行惡意代碼。

Microsoft 的研究人員在多個實時操作系統(tǒng)(RTOS)、C 標準庫(libc)實現(xiàn)和嵌入式軟件開發(fā)工具包(SDK)中廣泛使用的標準內(nèi)存分配功能中發(fā)現(xiàn)了這些漏洞。其安全響應中心團隊表示,多年來作為物聯(lián)網(wǎng)設備和嵌入式軟件的一部分而編寫的內(nèi)存分配實現(xiàn)沒有進行適當?shù)妮斎腧炞C,因此,攻擊者可以利用內(nèi)存分配功能來觸發(fā)堆溢出,從而在目標設備上執(zhí)行惡意代碼。

在發(fā)現(xiàn)這些漏洞后,Microsoft 的安全研究人員將其報告給了 CISA 和受影響的供應商。據(jù)悉,這些容易受到 BadAlloc 攻擊的物聯(lián)網(wǎng)和 OT 設備目前主要存在于消費者、醫(yī)療和工業(yè)網(wǎng)絡中,包括 Amazon FreeRTOS、Apache Nuttx OS、Google Cloud IoT Device SDK 等,完整的列表可以在 CISA 的公告中查到。同時,CISA 和 Microsoft 建議使用易受 BadAlloc 攻擊的設備的組織采取下列措施以減少風險:

  • 應用現(xiàn)有的供應商更新
  • 盡量減少所有控制系統(tǒng)設備及其系統(tǒng)的網(wǎng)絡暴露,并確保它們不能從互聯(lián)網(wǎng)訪問
  • 將控制系統(tǒng)網(wǎng)絡和遠程設備置于防火墻之后,并將其與業(yè)務網(wǎng)絡隔離開來
  • 當需要遠程訪問時,使用安全的方法,
  • 實施網(wǎng)絡安全監(jiān)控,以檢測可能有危害的行為指標
  • 加強網(wǎng)絡分割以保護關鍵資源

此外,CISA 還提供了控制系統(tǒng)安全推薦做法和一份關于有針對性的網(wǎng)絡入侵檢測和緩解策略的技術信息文件。雖然到目前為止,Microsoft 還沒有檢測到對 BadAlloc 的主動利用,但 CISA 要求各組織報告任何針對它們的惡意活動,以便于追蹤。

本文轉(zhuǎn)自OSCHINA

本文標題:Microsoft 在物聯(lián)網(wǎng)和 OT 設備中發(fā)現(xiàn)代碼執(zhí)行漏洞

本文地址:https://www.oschina.net/news/139713/microsoft-discover-rce-in-iot-and-ot


本文標題:Microsoft在物聯(lián)網(wǎng)和OT設備中發(fā)現(xiàn)代碼執(zhí)行漏洞
URL網(wǎng)址:http://m.5511xx.com/article/djeppsc.html