日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

這25個安全漏洞被統(tǒng)稱為 BadAlloc，是由內(nèi)存分配整數(shù)溢出( Integer Overflow)或環(huán)繞錯誤(Wraparound)引起的。攻擊者可以利用這些漏洞導致系統(tǒng)奔潰，并在受感染的IoT和OT系統(tǒng)上遠程執(zhí)行惡意代碼。

Microsoft的研究人員在多個實時操作系統(tǒng)(RTOS)、C標準庫(libc)實現(xiàn)和嵌入式軟件開發(fā)工具包(SDK)里被廣泛使用的標準內(nèi)存分配功能中發(fā)現(xiàn)了這些漏洞。微軟安全響應中心團隊表示：作為物聯(lián)網(wǎng)設備和嵌入式軟件的一部分，多年來編寫的內(nèi)存分配實現(xiàn)并未進行適當?shù)妮斎腧炞C，導致攻擊者可以利用內(nèi)存分配功能來執(zhí)行堆溢出，從而在目標設備上執(zhí)行惡意代碼。

“ BadAlloc”示例如下：

容易受到BadAlloc攻擊的設備

易受BadAlloc漏洞攻擊的IoT和OT設備主要在消費、醫(yī)療和工業(yè)網(wǎng)絡上。 受影響的設備完整列表如下：

• Amazon FreeRTOS 10.4.1
• Apache Nuttx OS 9.1.0
• ARM CMSIS-RTOS2 2.1.3之前的版本
• ARM Mbed OS 6.3.0
• ARM mbed-uallaoc 1.3.0
• Cesanta Software Mongoose OS v2.17.0
• eCosCentric eCosPro RTOS 2.0.1至4.5.3版本
• Google Cloud IoT設備SDK 1.0.2
• Linux Zephyr RTOS 2.4.0之前的版本
• Media Tek LinkIt SDK 4.6.1之前的版本
• Micrium OS 5.10.1及更低版本
• Micrium uCOS II / uCOS III 1.39.0及更低版本
• NXP MCUXpresso SDK 2.8.2之前的版本
• NXP 浦MQX 5.1及更低版本
• Redhat newlib 4.0.0之前的版本
• RIOT OS 2020.01.1
• Samsung Tizen RT RTOS 3.0.GBB之前的版本
• TencentOS-tiny 3.1.0
• 德州儀器(TI)CC32XX 4.40.00.07之前的版本
• 德州儀器(TI)SimpleLink MSP432E4XX
• 德州儀器(TI)SimpleLink-CC13XX 4.40.00之前的版本
• 德州儀器(TI)SimpleLink-CC26XX 4.40.00之前的版本
• 德州儀器(TI)SimpleLink-CC32XX 4.10.03之前的版本
• Uclibc-NG 1.0.36之前的版本
• Windriver VxWorks 7.0之前的版本

緩解措施

目前，漏洞已經(jīng)報告給了CISA與相關供應商。雖然暫時未發(fā)現(xiàn)相關漏洞的野外利用，但為了降低利用風險，CISA建議組織進行以下操作：

• 應用可用的供應商更新。
• 減少所有控制系統(tǒng)設備及其系統(tǒng)的網(wǎng)絡暴露，并確保不能從Internet訪問它們。
• 把控制系統(tǒng)網(wǎng)絡和遠程設備置于防火墻之后，并將其與業(yè)務網(wǎng)絡隔離。
• 需要遠程訪問時，使用虛擬專用網(wǎng)等安全方法。

如果無法立即修補易受攻擊的設備，Microsoft建議：

• 最大程度地減少或消除易受攻擊的設備在互聯(lián)網(wǎng)上的暴露
• 實施網(wǎng)絡安全監(jiān)控，檢測危害的行為指標;
• 加強網(wǎng)絡分段以保護關鍵資產(chǎn)。

參考來源：bleepingcomputer?

網(wǎng)站標題：IoT和OT設備中曝25個RCE漏洞
路徑分享：http://m.5511xx.com/article/djsjgij.html