Das CERT Coordination Center (CERT/CC) an der Carnegie Mellon Universität hat eine kritische Warnung bezüglich einer Sicherheitsanfälligkeit im Microchip Advanced Software Framework (ASF) herausgegeben. Diese Schwachstelle, die als CVE-2024-7490 verfolgt wird, ist ein stackbasierter Überlauf, der mit der Implementierung des tinydhcp-Servers innerhalb der ASF verbunden ist und es Angreifern potenziell ermöglicht, Remote-Code auszuführen.
Der Fehler resultiert aus unzureichender Eingabevalidierung in der DHCP-Implementierung der ASF. Eine speziell gestaltete DHCP-Anfrage kann einen stackbasierten Überlauf auslösen, was bei Entwicklern und Nutzern der Microchip-Technologie Alarm auslöst. CERT/CC hob die Schwere des Problems hervor und bemerkte, dass es in IoT-zentrierten Codes vorkommt, die in zahlreichen Geräten weltweit verwendet werden.
Die Ausnutzung dieser Schwachstelle ist alarmierend einfach; Angreifer können ein einzelnes DHCP-Anforderungs-Paket an eine Multicast-Adresse senden, wodurch es für böswillige Akteure zugänglich wird. Betroffene Versionen sind ASF 3.52.0.2574 und alle früheren Iterationen, mit zusätzlichen Risiken für Entwickler, die Forks des tinydhcp-Servers auf Plattformen wie GitHub verwenden.
Das Microchip Advanced Software Framework ist eine kostenlose und Open-Source-Bibliothek, die für Mikrocontroller entwickelt wurde und in verschiedenen Phasen des Produktlebenszyklus verwendet wird. Der Software wird jedoch keine aktive Unterstützung mehr von Microchip zuteil, was die Situation für Nutzer, die auf veraltete Versionen angewiesen sind, kompliziert.
Entdeckt von Andrue Coombes von Amazon Element55, deutet die Verbreitung des Fehlers in IoT-Anwendungen darauf hin, dass er zahlreiche Geräte betreffen könnte, die die Microchip-Technologie nutzen. Das Sicherheitsrisiko, das durch CVE-2024-7490 entsteht, ist erheblich, da Angreifer diese Schwachstelle ausnutzen könnten, um Systeme zu manipulieren, Malware einzuführen oder erheblichen Schaden anzurichten.
Angesichts der jüngsten Geschichte von Microchip, bei der ein Ransomware-Angriff bedeutende Datenbestände kompromittiert hat, ist die Dringlichkeit für verbesserte Cybersicherheitsmaßnahmen erhöht, insbesondere für Unternehmen, die veraltete oder nicht unterstützte Software verwenden.
Benutzer des Microchip ASF werden dringend geraten, sofortige Maßnahmen zu ergreifen. Das CERT/CC empfiehlt, auf eine derzeit unterstützte Softwarelösung zu migrieren, da es keine sofortige Lösung für die identifizierte Schwachstelle gibt, außer den tinydhcp-Dienst durch eine Alternative zu ersetzen, die nicht denselben Fehler aufweist.