Falle “BadAlloc” su dispositivi IoT e ICS

Proto: N070421.

Con la presente CERT-Yoroi desidera informarla relativamente a una serie di vulnerabilità che riguardano i dispositivi IoT e ICS, dispositivi adottati  nei più dispiegati ambienti, partendo  videosorveglianza fino ad arrivare a dispositivi real-time utilizzabili in ambiente industriale. Le falle sono referenziate con l’alias “BadAlloc” e sono identificate con le seguenti CVE:  CVE-2021-30636, CVE-2021-27431, CVE-2021-27433, CVE-2021-27435, CVE-2021-27427, CVE-2021-22684, CVE-2021-27439, CVE-2021-27425, CVE-2021-26461, CVE-2020-35198, CVE-2021-31571, CVE-2021-31572, CVE-2021-27417, CVE-2021-3420, CVE-2021-27411, CVE-2021-26706, CVE-2021-27421, CVE-2021-22680, CVE-2021-27419, CVE-2021-27429, CVE-2021-22636, CVE-2021-27504, CVE-2021-27502. 

In particolare, tutte le vulnerabilità sono accomunate dal fatto di riguardare i dispositivi IoT e ICS e sono tutte dovute al diffuso utilizzo di primitive insicure di gestione della memoria all’interno di numerosi sistemi RTOS, che possono permettere ad un attaccante remoto privo di autenticazione di eseguire codice arbitrario sui dispositivi. Gli scenari di attacco possibili riguardano sia attacchi tramite botnet rivolti a dispositivi IoT (e.g. Mirai), che scenari di attacco mirato negli ambienti ICS/SCADA. 

Le problematiche sono state confermate tramite il bollettino ICSA-21-119-04, nel quale risultano impattati numerosi Vendor. Di seguito si riporta la lista dei dispositivi attualmente afflitti da tale vulnerabilità: 

• Amazon FreeRTOS, Versione 10.4.1 
• Apache Nuttx OS, Versione 9.1.0 
• ARM CMSIS-RTOS2, versioni fino a  2.1.3 
• ARM Mbed OS, Versione 6.3.0 
• ARM mbed-uallaoc, Versione 1.3.0 
• Cesanta Software Mongoose OS, v2.17.0 
• eCosCentric eCosPro RTOS, Versioni dalla 2.0.1 alla 4.5.3 
• Google Cloud IoT Device SDK, Versione 1.0.2 
• Linux Zephyr RTOS, versioni fino a 2.4.0 
• MediaTek LinkIt SDK, versioni fino a 4.6.1 
• Micrium OS, Versions 5.10.1 and prior 
• Micrium uCOS II/uCOS III Versions 1.39.0 and prior 
• NXP MCUXpresso SDK, versioni fino a  2.8.2 
• NXP MQX, Versioni fino a 5.1 
• Redhat newlib, versioni fino a  4.0.0 
• RIOT OS, Version 2020.01.1 
• Samsung Tizen RT RTOS, versioni fino a 3.0.GBB 
• TencentOS-tiny, Version 3.1.0 
• Texas Instruments CC32XX, versioni fino a  4.40.00.07 
• Texas Instruments SimpleLink MSP432E4XX 
• Texas Instruments SimpleLink-CC13XX, versioni fino a  4.40.00 
• Texas Instruments SimpleLink-CC26XX, versioni fino a  4.40.00 
• Texas Instruments SimpleLink-CC32XX, versioni fino a  4.10.03 
• Uclibc-NG, versioni fino a  1.0.36 
• Windriver VxWorks, fino a 7.0 

Considerata la potenziale esposizione di tali dispositivi, la loro pervasività e diffusione, ed il rilascio di dettagli tecnici di tali vulnerabilità, CERT-Yoroi consiglia caldamente di applicare le patch per i dispositivi afflitti e monitorare il rilascio di ulteriori aggiornamenti per i firmware dei dispositivi afflitti. CERT-Yoroi consiglia inoltre di: 

• Monitorare opportunamente eventuali tentativi di accesso abusivo ai dispositivi IoT e ICS. 
• Ridurre la superficie di attacco, ad esempio con politiche di accesso VPN o whitelist utenti. 
• Segmentare la rete in modo tale da limitare possibili movimenti laterali. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro cyber. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index