微软发现影响广泛物联网和OT设备的“BadAlloc”缺陷

微软研究人员周四披露了24个影响工业、医疗和企业网络中广泛使用的物联网（IoT）和操作技术（OT）设备的漏洞，这些漏洞可能被对手滥用以执行任意代码，甚至导致关键系统崩溃。

“这些远程代码执行（RCE）漏洞覆盖超过25个CVE，并可能影响广泛的领域，从消费者和医疗物联网到工业物联网、操作技术和工业控制系统，”微软物联网研究集团的“Section 52”Azure Defender说。

这些缺陷被统称为“缺陷”巴达洛克,“因为它们植根于广泛使用的实时操作系统（RTO）、嵌入式软件开发工具包（SDK）和C标准库（libc）的标准内存分配功能实现。缺乏与这些内存分配功能相关的正确输入验证可能会使对手执行堆溢出，从而导致在易受攻击的设备上执行恶意代码。

“成功利用这些漏洞可能会导致意外行为，如崩溃或远程代码注入/执行，”美国网络安全和基础设施安全局（CISA）在一份咨询报告中说。微软和CISA都没有公布受软件漏洞影响的设备总数的详细信息。

受BadAlloc影响的设备完整列表如下-

• Amazon FreeRTOS, Version 10.4.1
• Apache Nuttx OS, Version 9.1.0
• ARM CMSIS-RTOS2，2.1.3之前的版本
• ARM Mbed OS, Version 6.3.0
• ARM mbed-uallaoc, Version 1.3.0
• Cesanta软件Mongoose操作系统，v2。17
• eCosCentric eCosPro RTOS，版本2.0.1至4.5.3
• 谷歌云物联网设备SDK，1.0.2版
• Linux Zephyr RTOS, versions prior to 2.4.0
• MediaTek LinkIt SDK, versions prior to 4.6.1
• Micrium OS，版本5.10.1及之前版本
• Micrium uCOS II/uCOS III版本1.39.0及之前版本
• NXP MCUXpresso SDK, versions prior to 2.8.2
• NXP MQX，5.1版及之前版本
• Redhat newlib，4.0.0之前的版本
• RIOT OS, Version 2020.01.1
• 三星Tizen RT RTOS，3.0之前的版本。GBB
• TencentOS-tiny, Version 3.1.0
• 德克萨斯仪器CC32XX，4.40.00.07之前的版本
• 德州仪器公司SimpleLink MSP432E4XX
• 德克萨斯仪器公司SimpleLink-CC13XX，4.40.00之前的版本
• 德克萨斯仪器公司SimpleLink-CC26XX，4.40.00之前的版本
• 德克萨斯仪器公司SimpleLink-CC32XX，4.10.03之前的版本
• Uclibc NG，1.0.36之前的版本
• Windriver VxWorks，7.0之前

微软表示，到目前为止还没有发现任何证据表明这些漏洞被利用，尽管这些补丁的可用性可能会让一个不好的参与者使用一种名为“补丁扩散”的技术来反向工程修复程序，并利用它来潜在地对软件的易受攻击版本进行武器化。

为了最大限度地降低利用这些漏洞的风险，CISA建议各组织尽快应用供应商更新，建立防火墙屏障，将系统网络与业务网络隔离，并减少控制系统设备的暴露，以确保它们仍然无法从互联网上访问。