Investigadores de seguridad de Microsoft han alertado de 25 vulnerabilidades críticas aún no documentadas que afectan a la asignación de memoria de varios dispositivos industriales y de IoT, y podrían permitir a los atacantes ejecutar código malicioso en una red o bloquear sistemas completos.

La Sección 52 de Microsoft, el grupo de investigación en ciberseguridad de Azure Defender para IoT, ha definido este grupo de vulnerabilidades como «BadAlloc». Y son peligrosas ya que de ser explotadas tienen el potencial de afectar una amplia gama de dominios, desde dispositivos de IoT médicos y de consumo hasta IoT de la industria. tecnología operativa y sistemas de control industrial, según un informe publicado en línea por el Centro de Respuesta de Seguridad de Microsoft (MSRC).

«Nuestra investigación muestra que las implementaciones de asignación de memoria escritas a lo largo de los años como parte de los dispositivos de IoT y el software integrado no han incorporado las validaciones de entrada adecuadas», comentan. Sin estas validaciones de entrada, un atacante podría aprovechar la función de asignación de memoria para realizar un desbordamiento de pila, lo que provocaría la ejecución de código malicioso en el dispositivo de destino.

La asignación de memoria es exactamente lo que parece: el conjunto básico de instrucciones que los fabricantes de dispositivos dan a un dispositivo sobre cómo asignar memoria. Las vulnerabilidades se derivan del uso de funciones de memoria vulnerables en todos los dispositivos, como malloc, calloc, realloc, memalign, valloc, pvalloc y más, según el informe.

Según los investigadores, el problema es sistémico, por lo que puede existir en varios aspectos de los dispositivos, incluidos los sistemas operativos en tiempo real (RTOS), los kits de desarrollo de software integrados (SDK) y las implementaciones de la biblioteca estándar C (libc), dijeron. Y como los dispositivos de IoT y OT son muy generalizados, «estas vulnerabilidades, si se explotan con éxito, representan un riesgo potencial significativo para las organizaciones de todo tipo».

Un aviso separado de la Agencia de Seguridad e Infraestructura de Ciberseguridad incluye una lista completa de dispositivos afectados, que comprende una serie de productos de Texas Instruments, así como otros de ARM, Samsung y Amazon, entre otros proveedores. De esa lista de 25 dispositivos, 15 ya tienen actualizaciones. Mientras tanto, algunos proveedores no esperan tener actualizaciones para solucionar el problema por varias razones, y otros lanzarán soluciones en una fecha posterior, según el aviso. CISA y Microsoft han recomendado otras mitigaciones para estos casos.

IoT, un gran problema para la ciberseguridad.

La seguridad y privacidad de los dispositivos de la Internet de las Cosas ha sido ampliamente cuestionada. Puede parecer muy moderno y «avanzado» tecnológicamente usar una cafetera inteligente, pero cuando se descubre que es posible tomar, de manera remota, el control de la misma y empezar a activar sus funciones y desactivar los filtros de seguridad como sucedió con los modelos de la marca Smarter, la percepción varía.

Los ejemplos de vulnerabilidades han sido amplios desde que el IoT llegó al mercado. Y han afectado a todas las plataformas, como una en Windows 10 IoT Core que permitiría a un atacante ejecutar comandos con privilegios de administrador o la vulnerabilidad de alta gravedad de BlueZ, la pila Bluetooth de Linux que brinda soporte para las capas y protocolos centrales del estándar de conectividad para dispositivos de Internet de las cosas (IoT) basados en Linux.

Un gran problema para el despliegue de estos dispositivos en los que muchos usuarios no confían hasta que no puedan garantizar la seguridad. Y la privacidad de un dispositivo que colocas en tu casa.

Fuente y redacción: segu-info.com.ar

Compartir